Mandriva Linux セキュリティアドバイザリ:yaml(MDVSA-2015:060)
medium Nessus プラグイン ID 81943
Language:
概要
リモート Mandriva Linux ホストには、1 つ以上のセキュリティ更新がありません。説明
更新済みの yaml パッケージにより、セキュリティの脆弱性が修正されます:Red Hat 製品セキュリティチームの Florian Weimer 氏は、高速な YAML 1.1 パーサーとエミッターライブラリである LibYAML に、ヒープベースのバッファオーバーフローの欠陥があることを発見しました。リモートの攻撃者は、特別に細工されたタグが付いている YAML ドキュメントを提供することがあります。これは、libyaml を使用しているアプリケーションで解析されると、アプリケーションがクラッシュすることや、そのアプリケーションを実行しているユーザーの権限で、任意のコードが実行される可能性があります(CVE-2013-6393)。
Google セキュリティチームの Ivan Fratric が、 LibYAML、高速 YAML 1.1 パーサー、エミッターライブラリに、ヒープベースのバッファオーバーフロー脆弱性を見つけました。リモートの攻撃者は、特別に細工された YAML ドキュメントを提供することがあります。これは、libyaml を使用しているアプリケーションで解析されると、アプリケーションがクラッシュすることや、そのアプリケーションを実行しているユーザーの権限で、任意のコードが実行される可能性があります(CVE-2014-2525)。
libyaml ライブラリが折り返された文字列を解析する方法にアサーションの失敗が見つかりました。特別に細工された YAML 入力を libyaml を使用するアプリケーションにロードできる攻撃者が、アプリケーションをクラッシュさせることが可能です(CVE-2014-9130)。
ソリューション
影響を受ける lib64yaml-devel および/または lib64yaml0_2 のパッケージを更新してください。参考資料
http://advisories.mageia.org/MGASA-2014-0040.html
プラグインの詳細
深刻度: Medium
ID: 81943
ファイル名: mandriva_MDVSA-2015-060.nasl
バージョン: 1.4
タイプ: local
公開日: 2015/3/19
更新日: 2021/1/6
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Medium
基本値: 6.8
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: p-cpe:/a:mandriva:linux:lib64yaml-devel, p-cpe:/a:mandriva:linux:lib64yaml0_2, cpe:/o:mandriva:business_server:2
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
パッチ公開日: 2015/3/13
参照情報
CVE: CVE-2013-6393, CVE-2014-2525, CVE-2014-9130
MDVSA: 2015:060