openSUSE セキュリティ更新:dropbear (openSUSE-SU-2013:1696-1)
medium Nessus プラグイン ID 75194
Language:
概要
リモート openSUSE ホストに、セキュリティ更新がありません。説明
dropbear が、以下のバグを修正するため、バージョン 2013.60 に更新されました。- 「make install」を修正。これにより、常に /bin および /sbin にインストールしなくなります
- man ページのインストールに失敗する「make install MULTI=1」を修正。
- man ページがないため、scp が含まれる際の「make install」を修正。
- --disable-bundled-libtom が機能するように変更
-bnc#845306 のバグ修正リリースとして使用- VUL-0:
CVE-2013-4421 および CVE-2013-4434
- ダウンロードソースに対するリンクを提供
- gpg-offline を導入 - ソースを検証
- Upstream バージョン 2013.59 をインポート
- -J コマンドによるクラッシュを修正。パッチ提供者:Lluís Batlle i Rossell 氏および Arnaud Mouiche 氏
- システムの速度が低下するため、/proc/net//rt_cache からの過剰な読み取りを回避
- 半分閉じた接続の EOF 処理を改善。情報提供:Catalin Patulea 氏
- Martin Donnelly 氏提供のユーザーパッチを対象とした、PAM エラーメッセージを報告するためのバナーメッセージを送信
- 展開されたペイロードのサイズを制限し、メモリ消耗によるサービス拒否を回避。情報提供および調査を行った Logan Lamb 氏に感謝の意を表します。
- 有効なユーザーの存在が一貫性のない遅延で漏洩することを回避。情報提供:Logan Lamb 氏。
- 新しいアーキテクチャのための、config.guess および config.sub を更新
- ロックされたアカウントに対するサーバーのセグメンテーション違反を回避
- 「make install」により、man ページがインストールされるようになりました。dropbearkey.8 の名前を dropbearkey.1 に変更。dropbearconvert に man ページを追加。
- 対話的でないコマンドを実行する際の 1 秒の遅延を修正
ソリューション
影響を受ける dropbear パッケージを更新してください。参考資料
https://bugzilla.novell.com/show_bug.cgi?id=845306
https://lists.opensuse.org/opensuse-updates/2013-11/msg00046.html
プラグインの詳細
深刻度: Medium
ID: 75194
ファイル名: openSUSE-2013-839.nasl
バージョン: 1.4
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2014/6/13
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.2
CVSS v2
リスクファクター: Medium
基本値: 5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:dropbear, p-cpe:/a:novell:opensuse:dropbear-debuginfo, p-cpe:/a:novell:opensuse:dropbear-debugsource, cpe:/o:novell:opensuse:13.1
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
パッチ公開日: 2013/11/7
参照情報
CVE: CVE-2013-4421, CVE-2013-4434