CentOS 6:glibc (CESA-2013:1605)

medium Nessus プラグイン ID 79166
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート CentOS ホストに1つ以上のセキュリティ更新がありません。

説明

3 つのセキュリティ問題と複数のバグを修正し、さまざまな強化を追加する、更新済み glibc パッケージが、 Red Hat Enterprise Linux 6 で使用できるようになりました。

Red Hat セキュリティレスポンスチームは、この更新のセキュリティ上の影響は中程度であると評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System (CVSS)のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。

glibc パッケージは、システムの複数プログラムで使用される標準 C ライブラリ(libc)、POSIX スレッドライブラリ(libpthread)、標準数学ライブラリ、(libm)、ネームサービスキャッシュデーモン(nscd)を提供します。これらのライブラリがないと、Linux システムは正常に機能しません。

ヒープベースのバッファオーバーフローを引き起こす複数の整数オーバーフローの欠陥が、 glibc メモリー割り当て関数(pvalloc、valloc および memalign)で見つかりました。アプリケーションがこのような関数を使用した場合、アプリケーションがクラッシュしたり、アプリケーションを実行しているユーザーの権限で任意のコードが実行されたりする可能性があります。(CVE-2013-4332)

マルチバイト文字の入力を処理する正規表現マッチングルーティンで欠陥が見つかりました。アプリケーションが glibc 正規表現マッチングメカニズムを使用している場合、攻撃者が特別に細工された入力を行い、それが処理されたときにアプリケーションをクラッシュする可能性があります。(CVE-2013-0242)

getaddrinfo() が名前解決中に使用されるスタックメモリの量を制限しなかったことが見つかりました。攻撃者がコントロールしているホスト名または IP アドレスをアプリケーションに解決させることができる攻撃者は、アプリケーションにすべてのスタックメモリを消費させ、クラッシュする可能性があります。(CVE-2013-1914)

いくつかある変更の中で特にこの更新には、以下のバグに対する重要な修正が、含まれています。

* Red Hat enterprise Linux 6.0、AF_INET および AF_INET6 の getaddrinfo() システムコールの初期リリースの不具合のため、 /etc/hosts ファイルから解決されたクエリにより、照会された名前が標準的な名前として返されました。ただし、この不適切な動作はそれでも期待される動作と見なされました。getaddrinfo() での最近の変更の結果、AF_INET6 クエリが標準的な名前を、適切に解決するようになっています。
ただし、この動作は /etc/hosts ファイルから解決されたクエリに依存するアプリケーションによっては期待されておらず、これらのアプリケーションは適切に動作できない可能性がありました。この更新により修正が適用され、/etc/hosts から解決された AF_INET6 クエリによって、照会された名前が常に標準的な名前として確実に返されます。DNS 検索は適切に解決され、常に正しい標準的な名前が返されることに、注意してください。/etc/hosts からの AF_INET6 クエリ解決への適切な修正が、将来のリリースで適用される可能性があります。現在のところ、標準がないため、Red Hat では、解決される IP アドレスに適用される /etc/hosts ファイルでの最初のエントリを標準的なエントリと見なすことを、推奨します。
(BZ#1022022)

これらの更新済み glibc パッケージには、追加のバグ修正および多様な拡張機能も含まれています。スペースの関係で、変更すべてを文書化しこのアドバイザリに反映されているわけではありません。これらの変更のなかで最も重要なものについては、「参照」でリンクされている Red Hat Enterprise Linux 6.5 テクニカルノートを参照してください。

glibc のすべてのユーザーには、これらの更新済みパッケージにアップグレードすることを推奨します。これには、これらの問題を修正し、これらの強化を追加する、バックポートされたパッチが含まれています。

ソリューション

影響を受ける glibc パッケージを更新してください。

関連情報

http://www.nessus.org/u?f77df32f

プラグインの詳細

深刻度: Medium

ID: 79166

ファイル名: centos_RHSA-2013-1605.nasl

バージョン: 1.10

タイプ: local

エージェント: unix

公開日: 2014/11/12

更新日: 2021/1/4

依存関係: ssh_get_info.nasl

リスク情報

CVSS スコアのソース: CVE-2013-0242

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

Base Score: 5

Temporal Score: 3.7

ベクトル: AV:N/AC:L/Au:N/C:N/I:N/A:P

現状ベクトル: E:U/RL:OF/RC:C

脆弱性情報

CPE: p-cpe:/a:centos:centos:glibc, p-cpe:/a:centos:centos:glibc-common, p-cpe:/a:centos:centos:glibc-devel, p-cpe:/a:centos:centos:glibc-headers, p-cpe:/a:centos:centos:glibc-static, p-cpe:/a:centos:centos:glibc-utils, p-cpe:/a:centos:centos:nscd, cpe:/o:centos:centos:6

必要な KB アイテム: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2013/11/26

脆弱性公開日: 2013/2/8

参照情報

CVE: CVE-2013-0242, CVE-2013-1914, CVE-2013-4332

BID: 57638, 58839, 62324

RHSA: 2013:1605