GLSA-201412-10：複数のパッケージ、2012 年に修正された複数の脆弱性

high Nessus プラグイン ID 79963

Language:

概要

リモートの Gentoo ホストでは、セキュリティに関連するパッチが少なくとも 1 つ不足しています。

説明

リモートホストは、GLSA-201412-10 で説明されている脆弱性の影響を受けます（複数のパッケージ、2012 で修正された複数の脆弱性）

以下でリストされているパッケージに、脆弱性が発見されました。
詳細については、「参照」セクションの CVE 識別子を参照してください。
GaduGadu Gateway の影響に対する EGroupware VTE Layer Four Traceroute（LFT）Suhosin Slock Ganglia Jabber：

コンテキスト依存の攻撃者が、昇格された権限を取得したり、任意のコードを実行したり、サービス拒否を引き起こしたり、機密情報を取得したり、その他セキュリティ制限をバイパスできる可能性があります。
回避策：

現時点で、既知の回避策はありません。

ソリューション

EGroupware の全ユーザーは、最新バージョンへアップグレードする必要があります：
# emerge --sync # emerge --ask --oneshot --verbose '>=www-apps/egroupware-1.8.004.20120613' VTE 0.32の全ユーザーは、最新バージョンへアップグレードする必要があります：
# emerge --sync # emerge --ask --oneshot --verbose '>=x11-libs/vte-0.32.2' VTE 0.28 の全ユーザーは、最新バージョンへアップグレードする必要があります：
# emerge --sync # emerge --ask --oneshot --verbose '>=x11-libs/vte-0.28.2-r204' Layer Four Traceroute の全ユーザーは、最新バージョンへアップグレードする必要があります：
# emerge --sync # emerge --ask --oneshot --verbose '>=net-analyzer/lft-3.33' Suhosin の全ユーザーは、最新バージョンへアップグレードする必要があります：
# emerge --sync # emerge --ask --oneshot --verbose '>=dev-php/suhosin-0.9.33' Slock の全ユーザーは、最新バージョンへアップグレードする必要があります：
# emerge --sync # emerge --ask --oneshot --verbose '>=x11-misc/slock-1.0' Ganglia の全ユーザーは、最新バージョンへアップグレードする必要があります：
# emerge --sync # emerge --ask --oneshot --verbose '>=sys-cluster/ganglia-3.3.7' Jabber to GaduGadu Gateway の全ユーザーは、最新バージョンへアップグレードする必要があります：
# emerge --sync # emerge --ask --oneshot --verbose '>=net-im/gg-transport-2.2.4' 注：これは、従来型の GLSA です。すべての影響を受けるアーキテクチャの更新は 2013 年から利用可能です。使用中のシステムは、もはやこの問題の影響を受けていない可能性があります。

参考資料

https://security.gentoo.org/glsa/201412-10

プラグインの詳細

深刻度: High

ID: 79963

ファイル名: gentoo_GLSA-201412-10.nasl

バージョン: 1.7

タイプ: local

ファミリー: Gentoo Local Security Checks

公開日: 2014/12/15

更新日: 2021/1/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.9

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:gentoo:linux:egroupware, p-cpe:/a:gentoo:linux:ganglia, p-cpe:/a:gentoo:linux:gg-transport, p-cpe:/a:gentoo:linux:lft, p-cpe:/a:gentoo:linux:slock, p-cpe:/a:gentoo:linux:suhosin, p-cpe:/a:gentoo:linux:vte, cpe:/o:gentoo:linux

必要な KB アイテム: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2014/12/11

脆弱性公開日: 2008/10/28

参照情報

CVE: CVE-2008-4776, CVE-2010-2713, CVE-2010-3313, CVE-2010-3314, CVE-2011-0765, CVE-2011-2198, CVE-2012-0807, CVE-2012-0808, CVE-2012-1620, CVE-2012-2738, CVE-2012-3448

BID: 52642, 52922, 54281, 54699, 41716, 46477, 48645, 51574

CWE: 119

GLSA: 201412-10