openSUSE セキュリティ更新：openconnect（openSUSE-SU-2013:1072-1）

high Nessus プラグイン ID 75056

Language:

概要

リモート openSUSE ホストに、セキュリティ更新がありません。

説明

openconnect のバージョン 3.20 へのこの更新には、いくつかのセキュリティ問題とバグの修正が含まれています。

- bnc#767616 を修正します

- CVE-2012-3291 の修正

- ビルド中に vpnc を必須とし、upstream の変更に沿うようにします

- -doc パッケージにドキュメントを同梱します

- バージョン 3.20 に更新してください

- 認証の成功時にキープアライブではない　HTTP 応答に対処します。

- 不適切な cbdata による進捗のコールバックを修正します。これは、KDE のクラッシュを引き起こしました。

- バージョン 3.19 に更新してください

- GnuTLS により構築される際にネイティブ TPM サポートを有効にします。

- GnuTLS により構築される際に PKCS#11 トークンサポートを有効にします。

- libopenconnect を通じたすべての SSL ライブラリの漏洩を排除します。

- 分割 DNS 情報を解析し、$CISCO_SPLIT_DNS 環境変数を vpnc-script に提供します。

- 新しいスタイルの MTU 情報をサーバーに提供しようとします（コマンドラインで指定されない限り Linux のみです）。

- GnuTLS に対して構築できるようにします。DTLS のサポートも含まれます。

- --with-pkgconfigdir= option を追加し、FreeBSD のためになるように構成します（fd#48743）。

- バージョン 3.18 に更新してください

- できれば --disable-nls... で autohate の破損を修正します。

- バナー処理でバッファオーバーフローを修正します。

- バージョン 3.17 に更新してください

- Solaris の time() 破損を回避します。

- Solaris 10 のインターフェイスの plumbing を修正します。

-（パッチが適用されていない）Solaris 10 のために asprintf() 関数を提供します。

- vpnc と同様に vpnc-script を必須にします。

- tun デバイスでレガシー IP アドレスを設定しません、vpnc-script に行わせます。

- pkg-config がない場合でも OpenSSL を検出します。

- 静的ライブラリの構築をデフォルトで停止します。

-「pre-init」の理由で vpnc-script を呼び出し、tun モジュールを必要に応じてロードします。

- バージョン 3.16 に更新してください

- Debian/kFreeBSD と Hurd のビルドエラーを修正します。

- デフレートパケットのメモリ漏洩を修正します。

- CSTP 再接続の zlib 状態のメモリ漏洩を修正します。

- DTLS とトンネルデバイスからのパケットの memcpy() 呼び出しを削除します。

- Solaris で I_PLINK ではなく I_LINK を使用して、レガシー IP のインターフェイスを　plumb します。

- vpnc-script が実行するのを期待するのではなく、Solaris の IPv6 インターフェイスを plumb します。

- vpnc-script と openconnect 出力のヘルプ Web ページを参照します。

- libproxy の結果処理時に発生する潜在的なクラッシュを修正します。

- pkg-config なしで libproxy を検出する上でもっと保守的になります。

ソリューション

影響を受ける openconnect パッケージを更新してください。

参考資料

https://bugzilla.novell.com/show_bug.cgi?id=767616

https://lists.opensuse.org/opensuse-updates/2013-06/msg00186.html

プラグインの詳細

深刻度: High

ID: 75056

ファイル名: openSUSE-2013-529.nasl

バージョン: 1.4

タイプ: local

エージェント: unix

ファミリー: SuSE Local Security Checks

公開日: 2014/6/13

更新日: 2021/1/19

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: High

基本値: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:openconnect, p-cpe:/a:novell:opensuse:openconnect-debuginfo, p-cpe:/a:novell:opensuse:openconnect-debugsource, p-cpe:/a:novell:opensuse:openconnect-devel, p-cpe:/a:novell:opensuse:openconnect-lang, cpe:/o:novell:opensuse:12.2

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

パッチ公開日: 2013/6/14

参照情報

CVE: CVE-2012-3291