AIX NAS Advisory：nas_advisory1.asc

high Nessus プラグイン ID 77532

Language:

概要

AIX リモートホストに、複数の脆弱性の影響を受けるバージョンの NAS がインストールされています。

説明

AIX リモートホストにインストールされたバージョンのネットワーク認証サービス（NAS）は、Kerberos 5 に関連する以下の脆弱性の影響を受けます。

- 攻撃者は GSSAPI アプリケーションセッションに無効なトークンを注入することで、サービス拒否（バッファオーバーリードおよびアプリケーションクラッシュ）を引き起こす可能性があります。
（CVE-2014-4341）

- パケットを偽装し、GSSAPI のアクセプターから来ているように見せかけることができる攻撃者は、GSSAPI イニシエーター（クライアント）の二重解放状態を利用して、サービス拒否または任意のコード実行を引き起こす可能性があります。これは、SPNEGO メカニズムを使用し、イニシエーターが提案したものとは異なる下層メカニズムを返すことによって実行されます。
（CVE-2014-4343）

- 攻撃者は、イニシエーターからアクセプターに向けて、空のトークンを 2 番目以降のコンテキストトークンとして送信することで、SPNEGO ネゴシエーション中に NULL ポインターデリファレンスとアプリケーションクラッシュを通してサービス拒否を引き起こす可能性があります。（CVE-2014-4344）

ソリューション

修正は入手でき、AIX の Web サイトからダウンロードできます。

NAS のファイルセットレベルが 1.5.0.6 の場合は、 ifix 「1506_fix.140813.epkg.Z」を適用してください。

NAS のファイルセットレベルが 1.6.0.1 の場合は、 ifix 「1601_fix.140813.epkg.Z」を適用してください。

NAS ファイルセットレベルが 1.5.0.3/1.5.0.4 である場合、1.6.0.1 にアップグレードし、ifix「1601_fix.140813.epkg.Z」を適用してください。

他のファイルセットレベルの場合、1.5.0.6 にアップグレードし、ifix「1506_fix.140813.epkg.Z」を適用してください。

これらの修正は、次回の NAS ファイルセット、バージョン 1.5.0.7 および 1.6.0.2 の一部にもなります。

これらのファイルセットは 2014 年 11 月 14 日までに利用可能となり、AIX Web サイトからダウンロードできます。

Tar ファイルから修正を展開するには、次のコマンドを使用します：tar xvf nas1_fix.tar cd nas1_fix

重要：可能であれば、システムの mksysb バックアップ作成を推奨します。続行する前に、起動および読み取りが可能であることを確認します。

修正のインストールをプレビューするには、次記のコマンドを使用します：

installp -a - fix_name -p all

修正パッケージをインストールするには、次のコマンドを使用します：

installp -a - fix_name -X all