検出

Ubuntu 12.04 LTS:linux-lts-trusty 脆弱性(USN-2378-1)

high Nessus プラグイン ID 78258

Language:

概要

リモート Ubuntu ホストに 1 つ以上のセキュリティ関連パッチがありません。

説明

Linux カーネルの magicmouse HID ドライバーにスタックバッファオーバーフローが複数発生することが、Steven Vittitoe 氏によって明らかにされました。物理的に接近した攻撃者がこれらの欠陥を悪用し、特別に細工されたデバイスで、サービス拒否(システムクラッシュ)を引き起こしたり、任意のコードを実行する可能性があります。
(CVE-2014-3181)

Linux カーネルの HID スタックのレポート記述子に、いくつかの off-by-one エラーがあることを、Ben Hawkes 氏が報告しました。物理的に接近した攻撃者がこれらの欠陥を悪用し、特別に細工されたデバイスで、サービス拒否(境界外書き込み)を引き起こす可能性がありました。(CVE-2014-3184)

Linux カーネルの Whiteheat USB シリアルドライバーで、バッファオーバーフローを許容する境界確認の欠陥が複数発見されました。物理的に接近した攻撃者がこれらの欠陥を悪用し、特別に細工されたデバイスで、サービス拒否(システムクラッシュ)を引き起こす可能性がありました。
(CVE-2014-3185)

Linux カーネルの PicoLCD HID デバイスドライバーにバッファオーバーフローが存在することが Steven Vittitoe 氏により報告されました。物理的に接近した攻撃者がこの欠陥を悪用し、特別に細工されたデバイスで、サービス拒否(システムクラッシュ)を引き起こしたり、任意のコードを実行する可能性があります。
(CVE-2014-3186)

Linux カーネルの連想配列ガベージコレクション実装に欠陥が発見しました。リモートの攻撃者が、この欠陥を悪用して、サービス拒否(システムクラッシュ)を引き起こしたり、keyctl 演算でその他の未特定の影響を及ぼす可能性があります。(CVE-2014-3631)

Linux カーネルの UDF ファイルシステム(一部の CD-ROM および DVDで使用)が間接 ICB を処理する際の欠陥が発見されました。CD、DVD または特別に細工された inode をマウントできる攻撃者が、サービス拒否(無限ループまたはスタック消費)を引き起こす可能性があります。(CVE-2014-6410)

Linux カーネルの Ceph ファイルシステムにバッファオーバーフローが存在することが James Eckersall 氏により発見されました。リモートの攻撃者は、これを悪用して、暗号化されていない長い認証チケットで、サービス拒否(メモリ消費およびパニック)を引き起こしたり、その他の特定できない影響を与える可能性があります。
(CVE-2014-6416)

Ceph ファイルシステムで、メモリ割り当て障害の処理に欠陥があることが James Eckersall 氏により発見されました。リモートの攻撃者が、この欠陥を悪用して、サービス拒否(システムクラッシュ)を引き起こしたり、その他の未特定の影響を及ぼす可能性があります。(CVE-2014-6417)

James Eckersall 氏が、Ceph ファイルシステムが認証応答を検証する方法に欠陥があることを発見しました。リモートの攻撃者はこの欠陥を悪用して、サービス拒否(システムクラッシュ)を引き起こしたり、その他の詳細不明の影響を与える可能性があります。(CVE-2014-6418)。

ソリューション

影響を受ける linux-image-3.13.0-37-generic および/または linux-image-3.13.0-37-generic-lpae パッケージを更新してください。

参考資料

https://usn.ubuntu.com/2378-1/

プラグインの詳細

深刻度: High

ID: 78258

ファイル名: ubuntu_USN-2378-1.nasl

バージョン: 1.13

タイプ: local

エージェント: unix

公開日: 2014/10/11

更新日: 2021/1/19

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 6.1

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

脆弱性情報

CPE: p-cpe:/a:canonical:ubuntu_linux:linux-image-3.13-generic, p-cpe:/a:canonical:ubuntu_linux:linux-image-3.13-generic-lpae, cpe:/o:canonical:ubuntu_linux:12.04:-:lts

必要な KB アイテム: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2014/10/9

脆弱性公開日: 2014/9/28

参照情報

CVE: CVE-2014-3181, CVE-2014-3184, CVE-2014-3185, CVE-2014-3186, CVE-2014-3631, CVE-2014-6410, CVE-2014-6416, CVE-2014-6417, CVE-2014-6418

BID: 69763, 69768, 69779, 69781, 69799, 69805, 70095

USN: 2378-1