Ubuntu 12.04 LTS:linux 脆弱性(USN-2376-1)

high Nessus プラグイン ID 78257
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート Ubuntu ホストに 1 つ以上のセキュリティ関連パッチがありません。

説明

Linux カーネルの magicmouse HID ドライバーにスタックバッファオーバーフローが複数発生することが、Steven Vittitoe 氏によって明らかにされました。物理的に接近した攻撃者がこれらの欠陥を悪用し、特別に細工されたデバイスで、サービス拒否(システムクラッシュ)を引き起こしたり、任意のコードを実行する可能性があります。
(CVE-2014-3181)

Linux カーネルの HID スタックのレポート記述子に、いくつかの off-by-one エラーがあることを、Ben Hawkes 氏が報告しました。物理的に接近した攻撃者がこれらの欠陥を悪用し、特別に細工されたデバイスで、サービス拒否(境界外書き込み)を引き起こす可能性がありました。(CVE-2014-3184)

Linux カーネルの Whiteheat USB シリアルドライバーで、バッファオーバーフローを許容する境界確認の欠陥が複数発見されました。物理的に接近した攻撃者がこれらの欠陥を悪用し、特別に細工されたデバイスで、サービス拒否(システムクラッシュ)を引き起こす可能性がありました。
(CVE-2014-3185)

Linux カーネルの PicoLCD HID デバイスドライバーにバッファオーバーフローが存在することが Steven Vittitoe 氏により報告されました。物理的に接近した攻撃者がこの欠陥を悪用し、特別に細工されたデバイスで、サービス拒否(システムクラッシュ)を引き起こしたり、任意のコードを実行する可能性があります。
(CVE-2014-3186)

Linux カーネルの UDF ファイルシステム(一部の CD-ROM および DVDで使用)が間接 ICB を処理する際の欠陥が発見されました。CD、DVD または特別に細工された inode をマウントできる攻撃者が、サービス拒否(無限ループまたはスタック消費)を引き起こす可能性があります。(CVE-2014-6410)

Linux カーネルの Ceph ファイルシステムにバッファオーバーフローが存在することが James Eckersall 氏により発見されました。リモートの攻撃者は、これを悪用して、暗号化されていない長い認証チケットで、サービス拒否(メモリ消費およびパニック)を引き起こしたり、その他の特定できない影響を与える可能性があります。
(CVE-2014-6416)

Ceph ファイルシステムで、メモリ割り当て障害の処理に欠陥があることが James Eckersall 氏により発見されました。リモートの攻撃者が、この欠陥を悪用して、サービス拒否(システムクラッシュ)を引き起こしたり、その他の未特定の影響を及ぼす可能性があります。(CVE-2014-6417)

James Eckersall 氏が、Ceph ファイルシステムが認証応答を検証する方法に欠陥があることを発見しました。リモートの攻撃者はこの欠陥を悪用して、サービス拒否(システムクラッシュ)を引き起こしたり、その他の詳細不明の影響を与える可能性があります。(CVE-2014-6418)。

ソリューション

影響を受けるパッケージを更新してください。

関連情報

https://usn.ubuntu.com/2376-1/

プラグインの詳細

深刻度: High

ID: 78257

ファイル名: ubuntu_USN-2376-1.nasl

バージョン: 1.13

タイプ: local

エージェント: unix

公開日: 2014/10/11

更新日: 2021/1/19

依存関係: ssh_get_info.nasl, linux_alt_patch_detect.nasl

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

Base Score: 7.8

Temporal Score: 5.8

ベクトル: AV:N/AC:L/Au:N/C:N/I:N/A:C

現状ベクトル: E:U/RL:OF/RC:C

脆弱性情報

CPE: p-cpe:/a:canonical:ubuntu_linux:linux-image-3.2-generic, p-cpe:/a:canonical:ubuntu_linux:linux-image-3.2-generic-pae, p-cpe:/a:canonical:ubuntu_linux:linux-image-3.2-highbank, p-cpe:/a:canonical:ubuntu_linux:linux-image-3.2-virtual, cpe:/o:canonical:ubuntu_linux:12.04:-:lts

必要な KB アイテム: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/10/9

脆弱性公開日: 2014/9/28

参照情報

CVE: CVE-2014-3181, CVE-2014-3184, CVE-2014-3185, CVE-2014-3186, CVE-2014-6410, CVE-2014-6416, CVE-2014-6417, CVE-2014-6418

BID: 69763, 69768, 69779, 69781, 69799, 69805

USN: 2376-1