検出

Fedora 20:csync2-1.34-15.fc20/duplicity-0.6.25-3.fc20/librsync-1.0.0-1.fc20/など(2015-3366)

medium Nessus プラグイン ID 81958

Language:

概要

リモートの Fedora ホストに 1 つ以上のセキュリティ更新がありません。

説明

librsync 1.0.0 の変更(2015-01-23) ======================================

- セキュリティ:CVE-2014-8242:librsync は以前、切り捨てられた MD4 の「強い」チェックサムを使用してブロックを照合していました。
 しかしながら、MD4 は暗号的に強くありません。攻撃者がファイルの一部の内容を制御できる場合、そのファイルが librsync/rdiff を使用して転送される場合には、それを利用してそのファイルの他の領域も制御できることができます。たとえば、これは、何らかの攻撃者が制御するデータを含むデータベース、メールボックス、または VM イメージで発生する場合があります。この問題を軽減するために、署名がデフォルトで 256 ビット BLAKE2 ハッシュで計算されます。これらの署名ファイルを与えた場合、古いバージョンの librsync が誤ったマジックナンバーについて問題を起こします。新しい「rdiff sig --hash=md4」オプションの使用、または API に「signature magic」を指定することで、後方互換性を取得できますが、古いファイルまたは信頼できないデータを含む新しいファイルでは、これは使用するべきではありません。これらの署名から生成されたデルタは、生成時に BLAKE2 も使用しますが、古いバージョンで読むことができる出力を作成します。https://github.com/librsync/librsync/issues/5 を参照してください。これを報告し、当初のパッチを提供してくれた Michael Samuel <miknet.net> に感謝の意を表します。

- 多様なビルド修正、Timothy Gu に感謝の意を表します。

- Debian からの rdiff man ページの向上。

- RPM ビルドのための librsync.spec ファイルの向上。

- 大型のファイルでのバグ #1110812「internal error: job made no progress(内部エラー:ジョブが進行しません)」を修正。

- ホスティングを https://github.com/librsync/librsync/ に移動

- https://travis-ci.org/librsync/librsync/ での Travis-CI.org 統合テスト

- popt のバンドルコピーを削除。これは別途インストールする必要があります。

- 「autogen.sh」を実行する前に「$LIBTOOLIZE」を設定できます。たとえば OS X Homebrew では、これは「glibtoolize」と呼ばれています。

注意:Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://bugzilla.redhat.com/show_bug.cgi?id=1126712

https://github.com/librsync/librsync/

https://github.com/librsync/librsync/issues/5.

http://www.nessus.org/u?8141e605

http://www.nessus.org/u?17aef938

http://www.nessus.org/u?eaaf0e09

http://www.nessus.org/u?d9b0a133

https://travis-ci.org/librsync/librsync/

プラグインの詳細

深刻度: Medium

ID: 81958

ファイル名: fedora_2015-3366.nasl

バージョン: 1.6

タイプ: local

エージェント: unix

公開日: 2015/3/20

更新日: 2021/1/11

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.7

CVSS v2

リスクファクター: Medium

基本値: 5.8

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:P

脆弱性情報

CPE: cpe:/o:fedoraproject:fedora:20, p-cpe:/a:fedoraproject:fedora:duplicity, p-cpe:/a:fedoraproject:fedora:csync2, p-cpe:/a:fedoraproject:fedora:rdiff-backup, p-cpe:/a:fedoraproject:fedora:librsync

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

パッチ公開日: 2015/3/9

参照情報

CVE: CVE-2014-8242

FEDORA: 2015-3366