検出

Mandriva Linux セキュリティアドバイザリ:openafs(MDVSA-2014:244)

high Nessus プラグイン ID 79989

Language:

概要

リモート Mandriva Linux ホストには、1 つ以上のセキュリティ更新がありません。

説明

openafs で複数の脆弱性が見つかり、修正されました:

1.6.2 以前の OpenAFS の特定のクライアントユーティリティのバッファオーバーフローのために、認証されたリモートユーザーが、長いファイルサーバーの ACL エントリを介して、サービス拒否(クラッシュ)を引き起こしたり、おそらくは任意のコードの実行を引き起こす可能性があります(CVE-2013-1794)。

1.6.2 以前の OpenAFS の ptserver の整数オーバーフローのために、リモートの攻撃者が IdToName RPC からの大きなリストを介してヒープベースのバッファオーバーフローを引き起こして、サービス拒否(クラッシュ)を引き起こす可能性があります(CVE-2013-1795)。

1.4.15 以前、1.6.5 以前の 1.6.x、および 1.7.26 以前の 1.7.x の OpenAFS では Kerberos 鍵のために弱い暗号化(DES)を使用するために、リモートの攻撃者がサービス鍵を容易に取得できます(CVE-2013-4134)。

1.6.5 以前の OpenAFS 1.6.x の vos コマンドは、-encrypt オプションを使用するとき、整合性保護だけを有効にしてデータを平文で送信するために、リモートの攻撃者がネットワークを盗み見ることで、機密情報を取得する可能性があります(CVE-2013-4135)。

1.6.7 以前の OpenAFS 1.4.8 の GetStatistics64 リモートプロシージャコール(RPC)のバッファオーバーフローにために、リモートの攻撃者が細工された statsVersion 引数を介して、サービス拒否を引き起こす可能性があります(CVE-2014-0159)。

XML および HTML ファイルの読み取り、変更および書き込みをサポートするライブラリである libxml2 で、サービス拒否の欠陥が見つかりました。リモートの攻撃者が特別に細工された XML ファイルを提供し、libxml2 を使用しているアプリケーションによって処理された場合、パーサーのデフォルト動作によりエンティティ置換が無効なときでも、過剰なエンティティ置換実行回数に基づく過剰な CPU 消費(サービス拒否)を引き起こす可能性があります(CVE-2014-3660)。

更新パッケージは、1.4.15 バージョンにアップグレードされ、これらの問題を修正するためのパッチが適用されています。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.openafs.org/pages/security/OPENAFS-SA-2013-001.txt

http://www.openafs.org/pages/security/OPENAFS-SA-2013-002.txt

http://www.openafs.org/pages/security/OPENAFS-SA-2013-003.txt

http://www.openafs.org/pages/security/OPENAFS-SA-2013-004.txt

http://www.openafs.org/pages/security/OPENAFS-SA-2014-001.txt

プラグインの詳細

深刻度: High

ID: 79989

ファイル名: mandriva_MDVSA-2014-244.nasl

バージョン: 1.5

タイプ: local

公開日: 2014/12/15

更新日: 2021/1/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:mandriva:linux:dkms-libafs, p-cpe:/a:mandriva:linux:lib64openafs-devel, p-cpe:/a:mandriva:linux:lib64openafs1, p-cpe:/a:mandriva:linux:openafs, p-cpe:/a:mandriva:linux:openafs-client, p-cpe:/a:mandriva:linux:openafs-doc, p-cpe:/a:mandriva:linux:openafs-server, cpe:/o:mandriva:business_server:1

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/12/14

参照情報

CVE: CVE-2013-1794, CVE-2013-1795, CVE-2013-4134, CVE-2013-4135, CVE-2014-0159

BID: 58299, 58300, 61438, 61439, 66776

MDVSA: 2014:244