検出

Debian DSA-3166-1:e2fsprogs - セキュリティ更新

medium Nessus プラグイン ID 81446

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

Google セキュリティチームの Jose Duart 氏は、ext2、ext3、ext4 ファイルシステム用の一連のユーティリティ、e2fsprogs にバッファオーバーフローを発見しました。悪意あるデバイスがプラグインされていて、システムがそのデバイスを自動的にマウントするように構成されていて、マウント処理でそのデバイスの悪意のあるファイルシステムで fsck を実行することを選択されている場合、この問題により、任意のコードの実行が引き起こされる可能性があります。

- CVE-2015-0247 ext2/ext3/ext4 ファイルシステムのオープン/クローズルーチンにおけるバッファオーバーフロー。

- CVE-2015-1572 CVE-2015-0247 の不完全な修正。

ソリューション

e2fsprogs パッケージをアップグレードしてください。

安定版(stable)ディストリビューション(wheezy)に対して、これらの問題はバージョン 1.42.5-1.1+deb7u1 で修正されています。

次回の安定版(stable)ディストリビューション(jessie)および不安定版(unstable)ディストリビューション(sid)で、これらの問題はまもなく修正される予定です。

参考資料

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=778948

https://security-tracker.debian.org/tracker/CVE-2015-0247

https://security-tracker.debian.org/tracker/CVE-2015-1572

https://packages.debian.org/source/wheezy/e2fsprogs

https://www.debian.org/security/2015/dsa-3166

プラグインの詳細

深刻度: Medium

ID: 81446

ファイル名: debian_DSA-3166.nasl

バージョン: 1.4

タイプ: local

エージェント: unix

公開日: 2015/2/24

更新日: 2021/1/11

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

基本値: 4.6

現状値: 4

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:e2fsprogs, cpe:/o:debian:debian_linux:7.0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2015/2/22

参照情報

CVE: CVE-2015-0247, CVE-2015-1572

BID: 72520

DSA: 3166