Oracle Linux 4/5：apr-util（ELSA-2009-1107）

high Nessus プラグイン ID 67875

Language:

概要

リモート Oracle Linux ホストに、1 つ以上のセキュリティ更新がありません。

説明

Red Hat セキュリティアドバイザリ 2009:1107 から：

Red Hat Enterprise Linux 4 および 5 向けの、複数のセキュリティ問題を修正する更新済み apr-util パッケージが現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新は重要度中のセキュリティ影響があると評価しています。

apr-util は、Apache Portable Runtime（APR）で使用されるユーティリティライブラリです。C データ構造とルーチンの無料ライブラリを提供することを目的としています。このライブラリには、XML、LDAP、データベースインターフェイス、URI 解析などへのサポートを含む
APR 向けの追加ユーティリティインターフェイスが含まれています。

apr-util で引数の変数リストを処理する方法に、 off-by-one オーバーフローの欠陥が検出されました。攻撃者がフォーマットされた出力変換ルーチンに対して、特別に細工された文字列を入力し、ビッグエンディアン式プラットフォームにおける機密情報の漏洩またはサービス拒否（アプリケーションクラッシュ）を引き起こす可能性がありました。(CVE-2009-1956)

注：CVE-2009-1956 の欠陥は、IBM S/390 や PowerPC などのビッグエンディアン方式のプラットフォームにのみ影響します。特定のデータを表示するために使用される、異なるバイト順序の配列により、リトルエンディアン式プラットフォーム上で apr-util パッケージを使用しているユーザーには影響しません。

apr-util の Extensible Markup Language（XML）パーサーにおいて、サービス拒否の欠陥が検出されました。リモートの攻撃者が、特別に細工された XML ドキュメントを作成して、 XML デコーディングエンジンによる処理の際に、過剰なメモリ消費を引き起こす可能性があります。(CVE-2009-1955)

apr-util で特定の検索パターンのコンパイルされたフォームを作成する方法に、ヒープベースの underwrite の欠陥が見つかりました。攻撃者が、特別に細工された検索キーワードを作り出し、パターン作成エンジンによって処理される際に任意のヒープメモリロケーションを上書きする可能性があります。(CVE-2009-0023)

apr-util の全ユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、これらの問題を解決することが推奨されます。この更新を有効にするには、 httpd などの Apache Portable Runtime ライブラリを使用するアプリケーションを再起動する必要があります。