検出

Fedora 21:privoxy-3.0.23-1.fc21(2015-1225)

high Nessus プラグイン ID 81173

Language:

概要

リモート Fedora ホストに、セキュリティ更新がありません。

説明

Privoxy 3.0.23 で次のセキュリティの問題が修正されていること [1] が報告されました:

- クライアントがチャンクでエンコードされた正しくない本体でリクエストを出す場合に存在した DoS の問題を修正しました。アサーションを有効にして(デフォルト)コンパイルされる場合、Privoxy を abort() してしまう可能性が以前はありました。Matthew Daley 氏により報告されました。
 http://ijbswa.cvs.sourceforge.net/viewvc/ijbswa/current/jcc.c?r1=1.433&r2=1.434

- pcrs コードでの複数のセグメンテーション違反とメモリリークを修正しました。また、この修正により、無効な pcrs コマンドが無効なものとして拒否されるケースが増えました。以前は、一部の無効なコマンドがエラーなしでロードされることがありました。
 Privoxy の pcrs ソース(アクションファイルとフィルターファイル)は、信頼できる入力であると見なされているため、信頼できないサードパーティによる書き込みはできないようにする必要がありますので注意してください。
 http://ijbswa.cvs.sourceforge.net/viewvc/ijbswa/current/pcrs.c?r1=1.46&r2=1.47

- 少なくとも理論上は、Privoxy をクラッシュさせる可能性がある、「無効な読み取り」バグを修正しました。
 http://ijbswa.cvs.sourceforge.net/viewvc/ijbswa/current/parsers.c?r1=1.297&r2=1.298

[1]: http://seclists.org/oss-sec/2015/q1/259

注意:Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

ソリューション

影響を受ける privoxy パッケージを更新してください。

参考資料

http://www.nessus.org/u?02038803

http://www.nessus.org/u?fc0894c2

http://www.nessus.org/u?e70b2d80

https://seclists.org/oss-sec/2015/q1/259

https://bugzilla.redhat.com/show_bug.cgi?id=1185925

https://bugzilla.redhat.com/show_bug.cgi?id=1185926

http://www.nessus.org/u?61b2f239

プラグインの詳細

深刻度: High

ID: 81173

ファイル名: fedora_2015-1225.nasl

バージョン: 1.5

タイプ: local

エージェント: unix

公開日: 2015/2/5

更新日: 2021/1/11

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

脆弱性情報

CPE: p-cpe:/a:fedoraproject:fedora:privoxy, cpe:/o:fedoraproject:fedora:21

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

パッチ公開日: 2015/1/27

参照情報

FEDORA: 2015-1225