検出

FreeBSD:libyaml のヒープオーバーフローがあり、コード実行が引き起こされる可能性があります(111f1f84-1d14-4ff2-a9ea-cf07119c0d3b)

medium Nessus プラグイン ID 72247

Language:

概要

リモート FreeBSD ホストに 1 つ以上のセキュリティ関連の更新が見つかりません。

説明

libyaml が、任意のコードの実行を引き起こす可能性があるヒープオーバーフローに脆弱です。Pkg が、一部の状況でパッケージマニフェストを解析するために、libyaml を使用します。Pkg は、リモートリポジトリを 1.2 まで解析するためにも、libyaml を使用します。

RedHat 製品セキュリティチームによる libyaml に関する報告:

libyaml が YAML タグを解析する方法で、ヒープベースのバッファオーバーフローの欠陥が見つかりました。リモートの攻撃者は、特別に細工された YAML ドキュメントを提供することがあります。libyaml を使用しているアプリケーションでこのドキュメントを解析すると、アプリケーションがクラッシュすることや、そのアプリケーションを実行しているユーザーの権限で任意のコードが実行される可能性があります。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://bugzilla.redhat.com/show_bug.cgi?id=1033990

http://www.nessus.org/u?057645b0

プラグインの詳細

深刻度: Medium

ID: 72247

ファイル名: freebsd_pkg_111f1f841d144ff2a9eacf07119c0d3b.nasl

バージョン: 1.6

タイプ: local

公開日: 2014/2/3

更新日: 2021/1/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.8

CVSS v2

リスクファクター: Medium

基本値: 6.8

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:libyaml, p-cpe:/a:freebsd:freebsd:pkg, p-cpe:/a:freebsd:freebsd:pkg-devel, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

パッチ公開日: 2014/2/1

脆弱性公開日: 2013/11/24

参照情報

CVE: CVE-2013-6393