検出

openSUSE セキュリティ更新:putty(openSUSE-SU-2013:1355-1)

medium Nessus プラグイン ID 75124

Language:

概要

リモート openSUSE ホストに、セキュリティ更新がありません。

説明

Putty が 0.63 に更新され、機能、バグ、セキュリティが修正されました。

変更:

- 0001-Revert-the-default-for-font-bolding-style.patch (0.63 で導入された表面的な変更を修正する upstream パッチ)が追加されます

- /usr/bin での競合ファイルが原因で、pssh パッケージ(パラレル SSH)に対して競合タグが追加されます

- 署名認証が行われます

- 0.63 への更新

- セキュリティ修正:極悪な SSH サーバーまたはネットワーク攻撃者が、悪意を持って構築された公開鍵と署名を提示することにより、起動時に PuTTY を 3 つの異なる方法でクラッシュするのが、防止されます。[bnc#833567] CVE-2013-4852

- セキュリティ修正:PuTTY が、メモリ内のユーザーキーの認証後に、誤ってユーザーキーのプライベート部分を保持することがなくなります。

- 内部構成ストレージシステムが改善され、文字列の長さでの一定の任意の制限すべてが削除されます。特に、PuTTY が保存できるポートフォーワーディングの数に、非合理に小さい制限がなくなるようにする必要があります。

- 別の方向が高い信頼性でサポートされるようになる前に、1 つの方向を閉じる TCP 接続が転送されました。この際、EOF は 2 つの方向に独立して伝播されます。これにより、転送データ破損の一部のインスタンス(破損が接続のまさに末端からのデータ損失で構成されている場合)、およびセッションの終了時に終了に失敗する PuTTY の一部のインスタンス(転送チャネルがアクティブでないのにまだアクティブだと誤って判断したため)も、修正されます。

- 端末エミュレーションが、xterm の括弧付き貼り付けモードをサポートするようになりました(これにより、対応するアプリケーションが入力されたテキストと貼りつけられたテキストの違いを判断することができ、そのため例えば
エディターは不適切な自動インデントを適用する必要がありません)。

- 前面の色を明るくすることと、フォントを変更することの、どちらか一方だけでなく両方により、テキストを太字で表示することを選択できるようになりました。

- PuTTYgen により、2048 ビットキーが求められたときに 2047 ビットキーを生成することがなくなりました(より一般的には n ビットが求められたときに n−1)。

- デフォルト設定への一部の更新:PuTTYgen によって 2048 ビットキー(1024 ではなく)がデフォルトで生成されます。PuTTY が、デフォルトで UTF-8 エンコーディングおよび 2000 行のスクロールバック(ISO 8859-1 および 200 行ではなく)になりました。

- Unix:PSCP と PSFTP が、両方の方向のコピーで Unix ファイル権限を保持するようになりました。

- Unix:デッドキーと構成文字シーケンスがサポートされるようになりました。

- Unix:Pango クライアント側のフォントではなく、サーバー側 X11 フォントを使用している場合に、PuTTY と pterm でフォントフォールバックが利用できるようになりました(選択したフォントでグリフがない場合、システムの他のフォントが自動的に入力されます)。

- バグ修正は、リストアップできないほど多数が行われました。そのほとんどは、Coverity Scan を通じてコードが実行されたことによるものです。Coverity Scan により、さまざまな状況での、種々のメモリとリソースの漏洩、論理エラー、クラッシュが見つかりました。

- パッケージの変更:

- make がベースディレクトリから実行されます

- テストが実行されます

- putty-01-werror.diff が削除されます(現在は必要なし)

- putty-02-remove-gtk1.diff、putty-05-glib-deprecated.diff、putty-06-gtk2-indivhdr.diff が削除されます(現在は必要なし)

- putty-03-config.diff がリフレッシュされます

- autoconf の呼び出しと要件が削除されます

- HTML ドキュメントがパッケージ化されます

- LICENCE ファイルがパッケージ化されます

ソリューション

影響を受ける putty パッケージを更新してください。

参考資料

https://bugzilla.novell.com/show_bug.cgi?id=833567

https://lists.opensuse.org/opensuse-updates/2013-08/msg00041.html

プラグインの詳細

深刻度: Medium

ID: 75124

ファイル名: openSUSE-2013-655.nasl

バージョン: 1.6

タイプ: local

エージェント: unix

公開日: 2014/6/13

更新日: 2021/1/19

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.8

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:putty, p-cpe:/a:novell:opensuse:putty-debuginfo, p-cpe:/a:novell:opensuse:putty-debugsource, cpe:/o:novell:opensuse:12.3

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2013/8/12

参照情報

CVE: CVE-2013-4852