検出

openSUSE セキュリティ更新:perl-YAML-LibYAML(openSUSE-2015-162)

medium Nessus プラグイン ID 81417

Language:

概要

リモート openSUSE ホストに、セキュリティ更新がありません。

説明

perl-YAML-LibYAML が、4 つのセキュリティの問題を修正するためにバージョン 0.59 に更新されました。

これらのセキュリティの問題が修正されました:

- CVE-2013-6393:0.1.5 以前の LibYAML における scanner.c の yaml_parser_scan_tag_uri 関数は、不適切なキャストを実行します。これにより、リモートの攻撃者が、YAML ドキュメントにおいて特別に細工されたタグから、サービス拒否(アプリケーションクラッシュ)を引き起こしたり、任意のコードを実行したりすることが可能でした。これにより、ヒープベースのバッファオーバーフローが発生します(bnc#860617、bnc#911782)。

- CVE-2012-1152:Perl の YAML::LibYAML(別名:YAML-LibYAML および perl-YAML-LibYAML)モジュール 0.38 における機能のエラーレポートの複数の書式文字列の脆弱性により、リモートの攻撃者が、Load 機能に対する (1) YAML ストリームの書式文字列、load_node 関数に対する (2) YAML ノード、load_mapping 関数に対する (3) YAML マッピング、load_sequence 関数に対する (4) YAML シーケンスからサービス拒否(プロセスクラッシュ)を引き起こすことが可能でした(bnc#751503)。

- CVE-2014-9130:Perl の YAML-LibYAML(別名 YAML-XS)モジュールで使用されている LibYAML 0.1.5 および 0.1.6 の scanner.c により、コンテキスト依存の攻撃者は、行ラップを伴うベクターを通じてサービス拒否(アサーション失敗およびクラッシュ)を引き起こすことが可能でした(bnc#907809、bnc#911782)。

- CVE-2014-2525:0.1.6 より前の LibYAML において、 yaml_parser_scan_uri_escapes 関数でのヒープベースのバッファオーバーフローにより、コンテキスト依存の攻撃者は、 YAML ファイルで URI にパーセントを符号化した一連の長い文字列を用いて、任意のコードを実行することができました(bnc#868944、 bnc#911782)。

以下のセキュリティ以外の問題が、修正されました。

- PR/23 ダンプヒューリスティックの改善

- より密接に YAML.pm を一致

- VERSION ステートメントを YAML::LibYAML に追加(issue#8)

- PR/21. nawglan++ に修正を適用済み

- doc で Swim cpan-tail ブロック関数を使用します

- 最新の libyaml を使用して YAML::XS を取得

- https://bitbucket.org/xi/libyaml/issue/10/wrapped-strings-cause-assert-failure の修正

- 5.21.4 の e1 テストの不具合を修正

- =travis セクションを削除

- Meta 0.0.2

- 偽装の末尾の空白を削除

- t/000-compile-modules.t を追加

- swim エラーを修正

- バッジを doc に追加

- ReadMe を修正

- Meta を修正し、Contributing を追加します。

- Doc 修正。GitHub-Issue-#6。これを発見していただいた Debian Perl Group に感謝の意を表します。

- @INC の「inc」には Test::Base テストが必要

- Zilla::Dist に切り替え

- Test::Base、Spiffy、Filter::Util::Call に依存しません。

- test/changes.t を削除

- 別の C++ // style コメントを削除 jdb++

- ポータブル性を向上するため、C++ // スタイルコメントを削除。
 jdb++

- 最新の libyaml コードベースを使用

- https://github.com/yaml/libyaml/tree/perl-yaml-xs

- libyaml を 1.2 への移行を開始するために、変更が行われました。

ソリューション

影響を受ける perl-YAML-LibYAML パッケージを更新してください。

参考資料

http://www.nessus.org/u?82d71510

https://bugzilla.opensuse.org/show_bug.cgi?id=751503

https://bugzilla.opensuse.org/show_bug.cgi?id=860617

https://bugzilla.opensuse.org/show_bug.cgi?id=868944

https://bugzilla.opensuse.org/show_bug.cgi?id=907809

https://bugzilla.opensuse.org/show_bug.cgi?id=911782

https://github.com/yaml/libyaml/tree/perl-yaml-xs

プラグインの詳細

深刻度: Medium

ID: 81417

ファイル名: openSUSE-2015-162.nasl

バージョン: 1.4

タイプ: local

エージェント: unix

公開日: 2015/2/20

更新日: 2021/1/19

サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

基本値: 6.8

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:perl-yaml-libyaml, p-cpe:/a:novell:opensuse:perl-yaml-libyaml-debuginfo, p-cpe:/a:novell:opensuse:perl-yaml-libyaml-debugsource, cpe:/o:novell:opensuse:13.1, cpe:/o:novell:opensuse:13.2

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

パッチ公開日: 2015/2/11

参照情報

CVE: CVE-2012-1152, CVE-2013-6393, CVE-2014-2525, CVE-2014-9130