概要
リモート Fedora ホストに、セキュリティ更新がありません。
説明
Privoxy 3.0.23 で次のセキュリティの問題が修正されていること [1] が報告されました:
- クライアントがチャンクでエンコードされた正しくない本体でリクエストを出す場合に存在した DoS の問題を修正しました。アサーションを有効にして(デフォルト)コンパイルされる場合、Privoxy を abort() してしまう可能性が以前はありました。Matthew Daley 氏により報告されました。
http://ijbswa.cvs.sourceforge.net/viewvc/ijbswa/current/jcc.c?r1=1.433&r2=1.434
- pcrs コードでの複数のセグメンテーション違反とメモリリークを修正しました。また、この修正により、無効な pcrs コマンドが無効なものとして拒否されるケースが増えました。以前は、一部の無効なコマンドがエラーなしでロードされることがありました。
Privoxy の pcrs ソース(アクションファイルとフィルターファイル)は、信頼できる入力であると見なされているため、信頼できないサードパーティによる書き込みはできないようにする必要がありますので注意してください。
http://ijbswa.cvs.sourceforge.net/viewvc/ijbswa/current/pcrs.c?r1=1.46&r2=1.47
- 少なくとも理論上は、Privoxy をクラッシュさせる可能性がある、「無効な読み取り」バグを修正しました。
http://ijbswa.cvs.sourceforge.net/viewvc/ijbswa/current/parsers.c?r1=1.297&r2=1.298
[1]: http://seclists.org/oss-sec/2015/q1/259
注意:Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。
ソリューション
影響を受ける privoxy パッケージを更新してください。
プラグインの詳細
ファイル名: fedora_2015-1225.nasl
エージェント: unix
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
脆弱性情報
CPE: p-cpe:/a:fedoraproject:fedora:privoxy, cpe:/o:fedoraproject:fedora:21
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list