概要
リモート openSUSE ホストに、セキュリティ更新がありません。
説明
perl-YAML-LibYAML が、4 つのセキュリティの問題を修正するためにバージョン 0.59 に更新されました。
これらのセキュリティの問題が修正されました:
- CVE-2013-6393:0.1.5 以前の LibYAML における scanner.c の yaml_parser_scan_tag_uri 関数は、不適切なキャストを実行します。これにより、リモートの攻撃者が、YAML ドキュメントにおいて特別に細工されたタグから、サービス拒否(アプリケーションクラッシュ)を引き起こしたり、任意のコードを実行したりすることが可能でした。これにより、ヒープベースのバッファオーバーフローが発生します(bnc#860617、bnc#911782)。
- CVE-2012-1152:Perl の YAML::LibYAML(別名:YAML-LibYAML および perl-YAML-LibYAML)モジュール 0.38 における機能のエラーレポートの複数の書式文字列の脆弱性により、リモートの攻撃者が、Load 機能に対する (1) YAML ストリームの書式文字列、load_node 関数に対する (2) YAML ノード、load_mapping 関数に対する (3) YAML マッピング、load_sequence 関数に対する (4) YAML シーケンスからサービス拒否(プロセスクラッシュ)を引き起こすことが可能でした(bnc#751503)。
- CVE-2014-9130:Perl の YAML-LibYAML(別名 YAML-XS)モジュールで使用されている LibYAML 0.1.5 および 0.1.6 の scanner.c により、コンテキスト依存の攻撃者は、行ラップを伴うベクターを通じてサービス拒否(アサーション失敗およびクラッシュ)を引き起こすことが可能でした(bnc#907809、bnc#911782)。
- CVE-2014-2525:0.1.6 より前の LibYAML において、 yaml_parser_scan_uri_escapes 関数でのヒープベースのバッファオーバーフローにより、コンテキスト依存の攻撃者は、 YAML ファイルで URI にパーセントを符号化した一連の長い文字列を用いて、任意のコードを実行することができました(bnc#868944、 bnc#911782)。
以下のセキュリティ以外の問題が、修正されました。
- PR/23 ダンプヒューリスティックの改善
- より密接に YAML.pm を一致
- VERSION ステートメントを YAML::LibYAML に追加(issue#8)
- PR/21. nawglan++ に修正を適用済み
- doc で Swim cpan-tail ブロック関数を使用します
- 最新の libyaml を使用して YAML::XS を取得
- https://bitbucket.org/xi/libyaml/issue/10/wrapped-strings-cause-assert-failure の修正
- 5.21.4 の e1 テストの不具合を修正
- =travis セクションを削除
- Meta 0.0.2
- 偽装の末尾の空白を削除
- t/000-compile-modules.t を追加
- swim エラーを修正
- バッジを doc に追加
- ReadMe を修正
- Meta を修正し、Contributing を追加します。
- Doc 修正。GitHub-Issue-#6。これを発見していただいた Debian Perl Group に感謝の意を表します。
- @INC の「inc」には Test::Base テストが必要
- Zilla::Dist に切り替え
- Test::Base、Spiffy、Filter::Util::Call に依存しません。
- test/changes.t を削除
- 別の C++ // style コメントを削除 jdb++
- ポータブル性を向上するため、C++ // スタイルコメントを削除。
jdb++
- 最新の libyaml コードベースを使用
- https://github.com/yaml/libyaml/tree/perl-yaml-xs
- libyaml を 1.2 への移行を開始するために、変更が行われました。
ソリューション
影響を受ける perl-YAML-LibYAML パッケージを更新してください。
プラグインの詳細
ファイル名: openSUSE-2015-162.nasl
エージェント: unix
サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:perl-yaml-libyaml, p-cpe:/a:novell:opensuse:perl-yaml-libyaml-debuginfo, p-cpe:/a:novell:opensuse:perl-yaml-libyaml-debugsource, cpe:/o:novell:opensuse:13.1, cpe:/o:novell:opensuse:13.2
必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu