検出

Oracle Linux 5:dbus-glib(ELSA-2010-0616)

low Nessus プラグイン ID 68083

Language:

概要

リモート Oracle Linux ホストに、1 つ以上のセキュリティ更新がありません。

説明

Red Hat セキュリティアドバイザリ 2010:0616 から:

1 つのセキュリティ問題を修正する更新済みの dbus-glib パッケージが、 Red Hat Enterprise Linux 5 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新のセキュリティ上の影響は中程度であると評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。

dbus-glib は、標準の D-Bus ライブラリを GLib メインループおよびスレッドモデルと統合するための、アドオンライブラリです。NetworkManager は、有線または無線のネットワークを常時接続した状態にしておくようにするためのネットワークリンクマネージャです。

dbus-glib は、エクスポートされた GObject プロパティで「access」フラグを強制しないことがわかりました。このようなプロパティが、内部では「読み取り/書き込み」に、外部では「読み取り専用」として指定された場合、悪意のあるローカルユーザーは、この欠陥を利用してアプリケーションのプロパティを変えることがあります。
このような変更により、アプリケーションの動作が影響を受け(たとえば、 IP アドレスが変更された場合、再起動後にネットワークに適切に接続できなくなる場合がある)、サービス拒否が発生する可能性があります。(CVE-2010-1172)

アプリケーション構築時に、dbus-glib がサービスインターフェイスとプロパティに関するアプリケーションの XML 定義を C コードに変換する方法が原因で、読み取り専用プロパティを使用している dbus-glib に対して構築されたアプリケーションは、欠陥を完全に修正するには再構築が必要でした。したがって、この更新で提供される NetworkManager パッケージは、更新済みの dbus-glib パッケージで再構築されています。Red Hat Enterprise Linux 5 に標準装備されるその他のアプリケーションは影響を受けませんでした。

dbus-glib と NetworkManager の全ユーザーは、バックポートされたパッチが含まれる更新済みのこれらのパッケージにアップグレードし、この問題を修正することが推奨されます。この更新を有効にするには、実行中の NetworkManager のインスタンスを再起動(NetworkManager サービスの再起動)する必要があります。

ソリューション

影響を受ける dbus-glib パッケージを更新してください。

参考資料

https://oss.oracle.com/pipermail/el-errata/2010-August/001597.html

プラグインの詳細

深刻度: Low

ID: 68083

ファイル名: oraclelinux_ELSA-2010-0616.nasl

バージョン: 1.9

タイプ: local

エージェント: unix

公開日: 2013/7/12

更新日: 2021/1/14

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.7

CVSS v2

リスクファクター: Low

基本値: 3.6

現状値: 2.7

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:N/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:oracle:linux:networkmanager, p-cpe:/a:oracle:linux:networkmanager-devel, p-cpe:/a:oracle:linux:networkmanager-glib, p-cpe:/a:oracle:linux:networkmanager-glib-devel, p-cpe:/a:oracle:linux:networkmanager-gnome, p-cpe:/a:oracle:linux:dbus-glib, p-cpe:/a:oracle:linux:dbus-glib-devel, cpe:/o:oracle:linux:5

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2010/8/11

脆弱性公開日: 2010/8/20

参照情報

CVE: CVE-2010-1172

RHSA: 2010:0616