RHEL 6：libyaml（RHSA-2014:0415）

medium Nessus プラグイン ID 79012

Language:

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

2 つのセキュリティの問題を修正する更新済みの libyaml パッケージが、Red Hat Enterprise Linux 6 用の Red Hat Common で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新には重大なセキュリティ上の影響があると評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System （CVSS）のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。

YAML は、人間可読性およびスクリプト言語との相互作用のために設計された、データシリアル化フォーマットです。LibYAML は C　言語で記述された YAML のパーサーおよびエミッタ―です。

libyaml ライブラリが YAML ドキュメントの URL を解析する方法で、バッファオーバーフローの欠陥が見つかりました。特別に細工された YAML 入力を libyaml を使用しているアプリケーションにロードできる攻撃者が、アプリケーションをクラッシュさせたり、アプリケーションを実行しているユーザーの権限で任意のコードを実行したりする可能性があります。（CVE-2014-2525）

libyaml ライブラリが過剰に長い YAML タグを処理する方法で、整数オーバーフローの欠陥が見つかりました。特別に細工された YAML 入力を libyaml を使用しているアプリケーションにロードできる攻撃者が、アプリケーションをクラッシュさせたり、アプリケーションを実行しているユーザーの権限で任意のコードを実行したりする可能性があります。（CVE-2013-6393）

Red Hat は、CVE-2014-2525 の問題を報告してくれた oCERT に感謝の意を表します。oCERT は、Google セキュリティチームの Ivan Fratric 氏を最初の報告者として認めます。CVE-2013-6393 は、Red Hat 製品セキュリティチームの Florian Weimer により発見されました。

注：デフォルト構成では、Red Hat Common チャネルを通じて配布されるアプリケーションは、YAML の解析に対して libyaml ライブラリを使用しません。このため、これらの問題に対して脆弱ではありません。

libyaml の全ユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージにアップグレードし、これらの問題を修正することが推奨されます。この更新を有効にするために、libyaml ライブラリにリンクしている、作動している全てのアプリケーションを再起動する必要があります。

ソリューション

影響を受ける libyaml、libyaml-debuginfo および/または libyaml-devel パッケージを更新してください。

参考資料

https://access.redhat.com/errata/RHSA-2014:0415

https://access.redhat.com/security/cve/cve-2013-6393

https://access.redhat.com/security/cve/cve-2014-2525

プラグインの詳細

深刻度: Medium

ID: 79012

ファイル名: redhat-RHSA-2014-0415.nasl

バージョン: 1.12

タイプ: local

エージェント: unix

ファミリー: Red Hat Local Security Checks

公開日: 2014/11/8

更新日: 2021/1/14

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus