Debian DSA-3031-1:apt - セキュリティの更新
medium Nessus プラグイン ID 77824
Language:
概要
リモート Debian ホストに、セキュリティ更新がありません。説明
Google セキュリティチームは、apt-get の HTTP 転送コードにバッファオーバーフローの脆弱性があることを発見しました。中間者として apt リポジトリに HTTP リクエストを行える攻撃者は、バッファオーバーフローを誘発することで、「http」apt メソッドバイナリのクラッシュか、任意のコードの実行を引き起こすことが可能です。この更新には、次の 2 つの回帰の修正が含まれていました:
- Dir::state::lists のカスタム apt 構成オプションが相対パスに設定されている場合に生じる、DSA-3025-1 の前回の更新における回帰を修正します(#762160)。
- 間違った hashsum 警告を引き起こす可能性がある、
cdrom:sources の再検証の処理における回帰を修正します。
影響を受けるユーザーは、更新を適用した後に、「apt-cdrom add」をもう一度実行する必要があります。
ソリューション
apt パッケージをアップグレードしてください。安定版(stable)ディストリビューション(wheezy)では、この問題は、バージョン 0.9.7.9+deb7u5 で修正されています。
参考資料
プラグインの詳細
深刻度: Medium
ID: 77824
ファイル名: debian_DSA-3031.nasl
バージョン: 1.8
タイプ: local
エージェント: unix
ファミリー: Debian Local Security Checks
公開日: 2014/9/25
更新日: 2021/1/11
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.2
CVSS v2
リスクファクター: Medium
基本値: 6.8
現状値: 5
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: p-cpe:/a:debian:debian_linux:apt, cpe:/o:debian:debian_linux:7.0
必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2014/9/23
参照情報
CVE: CVE-2014-6273
DSA: 3031