CentOS 6:augeas(CESA-2013:1537)
low Nessus プラグイン ID 79157
Language:
概要
リモート CentOS ホストに1つ以上のセキュリティ更新がありません。説明
2 つのセキュリティ問題と複数のバグを修正し、さまざまな強化を追加する、更新済み augeas パッケージが、 Red Hat Enterprise Linux 6 で使用できるようになりました。Red Hat セキュリティレスポンスチームは、この更新によるセキュリティ上の影響は小さいと評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。
Augeas は、構成を編集するためのユーティリティです。Augeas により、ネイティブフォーマットでの構成ファイルが解析され、それらはツリーに変換されます。構成変更は、このツリーを操作し、それをネイティブ構成ファイルに戻して再度保存することで、行われます。Augeas により、ファイルから Augeas ツリーへおよび逆方向へのマッピングを確立するために、「lenses」も基本構築ブロックとして使用されます。
複数の欠陥が、Augeas で構成ファイルを更新するときにそれらを処理する方法で、見つかりました。異なるユーザーが書き込み可能なディレクトリの中の構成ファイルを更新するために、Augeas を使用するアプリケーションは(たとえば、 root 以外のサービスユーザーが所有するディレクトリの中のファイルを更新している root として、実行中のアプリケーション)、騙されて、シンボリックリンクまたはマウントポイント攻撃を介して、任意のファイルを上書きすることや、情報を漏洩する可能性があります。(CVE-2012-0786、CVE-2012-0787)
augeas パッケージが Upstream バージョン 1.0.0 にアップグレードされ、以前のバージョンに対する多数のバグ修正と拡張機能が行われています。(BZ#817753)
この更新は以下のバグも修正します:
* 以前は、一重引用符が XML 属性で使用されるとき、Augeas では XML lens でファイルを解析できませんでした。一重引用符が有効な文字として必ず処理され、解析が失敗しなくなるように、上流パッチが提供されています。(BZ#799885)
* この更新以前は、Augeas によって vsftpd.conf ファイルで「require_ssl_reuse」オプションを設定できませんでした。更新済みパッチにより、vsftpd lens でこのオプションが正しく認識されるように修正され、このバグは修正されます。(BZ#855022)
* これまで、XML lens は Unix 以外の行末に対応していませんでした。
その結果、そのような行末が含まれているファイルを、 Augeas によって読み込むことはできませんでした。XML lens が、CRLF 行末が含まれているファイルを処理するように修正され、このバグは修正されています。(BZ#799879)
* 以前は、Augeas では、オプションディレクティブで「=」文字の周囲にスペースがある modprobe.conf ファイルは解析できませんでした。modprobe lens が更新され、解析は失敗しなくなっています。(BZ#826752)
Augeas の全ユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、これらの問題を修正し、拡張機能を追加することが推奨されます。
ソリューション
影響を受ける augeas パッケージを更新してください。参考資料
プラグインの詳細
深刻度: Low
ID: 79157
ファイル名: centos_RHSA-2013-1537.nasl
バージョン: 1.8
タイプ: local
エージェント: unix
ファミリー: CentOS Local Security Checks
公開日: 2014/11/12
更新日: 2021/1/4
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Low
基本値: 3.7
現状値: 2.7
ベクトル: CVSS2#AV:L/AC:H/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2012-0787
脆弱性情報
CPE: p-cpe:/a:centos:centos:augeas, p-cpe:/a:centos:centos:augeas-devel, p-cpe:/a:centos:centos:augeas-libs, cpe:/o:centos:centos:6
必要な KB アイテム: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2013/11/26
脆弱性公開日: 2013/11/23
参照情報
CVE: CVE-2012-0786, CVE-2012-0787, CVE-2012-6607
RHSA: 2013:1537