Scientific Linux セキュリティ更新:SL6.x i386/x86_64 の augeas
low Nessus プラグイン ID 71192
Language:
概要
リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。説明
複数の欠陥が、Augeas で構成ファイルを更新するときにそれらを処理する方法で、見つかりました。異なるユーザーが書き込み可能なディレクトリの中の構成ファイルを更新するために、Augeas を使用するアプリケーションは(たとえば、 root 以外のサービスユーザーが所有するディレクトリの中のファイルを更新している root として、実行中のアプリケーション)、騙されて、シンボリックリンクまたはマウントポイント攻撃を介して、任意のファイルを上書きすることや、情報を漏洩する可能性があります。(CVE-2012-0786、 CVE-2012-0787)augeas パッケージが Upstream バージョン 1.0.0 にアップグレードされ、以前のバージョンに対する多数のバグ修正と拡張機能が行われています。
この更新は以下のバグも修正します:
- 以前は、一重引用符が XML 属性で使用されるとき、Augeas では XML lens でファイルを解析できませんでした。一重引用符が有効な文字として必ず処理され、解析が失敗しなくなるように、上流パッチが提供されています。
- この更新以前は、Augeas によって vsftpd.conf ファイルで「require_ssl_reuse」オプションを設定できませんでした。更新済みパッチにより、vsftpd lens でこのオプションが正しく認識されるように修正され、このバグは修正されます。
- これまで、XML lens は Unix 以外の行末に対応していませんでした。その結果、そのような行末が含まれているファイルを、 Augeas によって読み込むことはできませんでした。XML lens が、CRLF 行末が含まれているファイルを処理するように修正され、このバグは修正されています。
- 以前は、Augeas では、オプションディレクティブで「=」文字の周囲にスペースがある modprobe.conf ファイルは解析できませんでした。modprobe lens が更新され、解析は失敗しなくなっています。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Low
ID: 71192
ファイル名: sl_20131121_augeas_on_SL6_x.nasl
バージョン: 1.5
タイプ: local
エージェント: unix
公開日: 2013/12/4
更新日: 2021/1/14
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Low
基本値: 3.7
ベクトル: CVSS2#AV:L/AC:H/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: p-cpe:/a:fermilab:scientific_linux:augeas, p-cpe:/a:fermilab:scientific_linux:augeas-debuginfo, p-cpe:/a:fermilab:scientific_linux:augeas-devel, p-cpe:/a:fermilab:scientific_linux:augeas-libs, x-cpe:/o:fermilab:scientific_linux
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
パッチ公開日: 2013/11/21
脆弱性公開日: 2013/11/23
参照情報
CVE: CVE-2012-0786, CVE-2012-0787