検出

Oracle Linux 4:cyrus-sasl(ELSA-2007-0795)

low Nessus プラグイン ID 67558

Language:

概要

リモート Oracle Linux ホストに、1 つ以上のセキュリティ更新がありません。

説明

Red Hat セキュリティアドバイザリ 2007:0795 から:

セキュリティの問題とさまざまなバグを修正する更新済みの cyrus-sasl パッケージが、Red Hat Enterprise Linux 4 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新は重要度中のセキュリティ影響があると評価しています。

cyrus-sasl パッケージには、SASL の Cyrus 実装が含まれています。SASL (Simple Authentication and Security Layer)は、認証サポートを接続ベースのプロトコルに追加するメソッドです。

cyrus-sasl の DIGEST-MD5 認証メカニズムでバグが見つかりました。
DIGEST-MD5 認証交換の一部として、クライアントが特定の情報のセットをサーバーに送信することが想定されています。これらのいずれかの項目(「realm」)が送信されないか、無効な形式である場合、リモートの認証されていない攻撃者が、サーバーでサービス拒否(セグメンテーション違反)を発生させる可能性がありました。(CVE-2006-1721)

このエラータは以下のバグも修正します:

* Red Hat Enterprise Linux 4 に含まれる Kerberos 5 ライブラリは、スレッドセーフではありませんでした。この更新により、機能が追加され、スレッド化されているアプリケーションで安全に使用できるようになります。

* cyrus-sasl の DIGEST-MD5 認証プラグインにおける複数のメモリ漏洩バグが修正されました。

* /dev/urandom は hwrandom をサポートしないシステムでデフォルト使用されるようになりました。以前は、dev/random がデフォルトでした。

* cyrus-sasl では zlib-devel を適切に構築する必要があります。現在は、この依存関係の情報がパッケージに含まれています。

ユーザーは、この更新済み cyrus-sasl パッケージへアップグレードし、これらの問題を解決することが推奨されます。

ソリューション

影響を受ける cyrus-sasl パッケージを更新してください。

参考資料

https://oss.oracle.com/pipermail/el-errata/2007-September/000314.html

プラグインの詳細

深刻度: Low

ID: 67558

ファイル名: oraclelinux_ELSA-2007-0795.nasl

バージョン: 1.8

タイプ: local

エージェント: unix

公開日: 2013/7/12

更新日: 2021/1/14

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Low

基本値: 2.6

ベクトル: CVSS2#AV:N/AC:H/Au:N/C:N/I:N/A:P

脆弱性情報

CPE: p-cpe:/a:oracle:linux:cyrus-sasl-ntlm, p-cpe:/a:oracle:linux:cyrus-sasl-plain, p-cpe:/a:oracle:linux:cyrus-sasl-sql, cpe:/o:oracle:linux:4, p-cpe:/a:oracle:linux:cyrus-sasl, p-cpe:/a:oracle:linux:cyrus-sasl-devel, p-cpe:/a:oracle:linux:cyrus-sasl-gssapi, p-cpe:/a:oracle:linux:cyrus-sasl-md5

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

パッチ公開日: 2007/9/4

脆弱性公開日: 2006/4/11

参照情報

CVE: CVE-2006-1721

RHSA: 2007:0795