概要
リモートの Fedora ホストに 1 つ以上のセキュリティ更新がありません。
説明
librsync 1.0.0 の変更(2015-01-23) ======================================
- セキュリティ:CVE-2014-8242:librsync は以前、切り捨てられた MD4 の「強い」チェックサムを使用してブロックを照合していました。
しかしながら、MD4 は暗号的に強くありません。攻撃者がファイルの一部の内容を制御できる場合、そのファイルが librsync/rdiff を使用して転送される場合には、それを利用してそのファイルの他の領域も制御できることができます。たとえば、これは、何らかの攻撃者が制御するデータを含むデータベース、メールボックス、または VM イメージで発生する場合があります。この問題を軽減するために、署名がデフォルトで 256 ビット BLAKE2 ハッシュで計算されます。これらの署名ファイルを与えた場合、古いバージョンの librsync が誤ったマジックナンバーについて問題を起こします。新しい「rdiff sig --hash=md4」オプションの使用、または API に「signature magic」を指定することで、後方互換性を取得できますが、古いファイルまたは信頼できないデータを含む新しいファイルでは、これは使用するべきではありません。これらの署名から生成されたデルタは、生成時に BLAKE2 も使用しますが、古いバージョンで読むことができる出力を作成します。https://github.com/librsync/librsync/issues/5 を参照してください。これを報告し、当初のパッチを提供してくれた Michael Samuel <miknet.net> に感謝の意を表します。
- 多様なビルド修正、Timothy Gu に感謝の意を表します。
- Debian からの rdiff man ページの向上。
- RPM ビルドのための librsync.spec ファイルの向上。
- 大型のファイルでのバグ #1110812「internal error: job made no progress(内部エラー:ジョブが進行しません)」を修正。
- ホスティングを https://github.com/librsync/librsync/ に移動
- https://travis-ci.org/librsync/librsync/ での Travis-CI.org 統合テスト
- popt のバンドルコピーを削除。これは別途インストールする必要があります。
- 「autogen.sh」を実行する前に「$LIBTOOLIZE」を設定できます。たとえば OS X Homebrew では、これは「glibtoolize」と呼ばれています。
注意:Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。
ソリューション
影響を受けるパッケージを更新してください。
プラグインの詳細
ファイル名: fedora_2015-3497.nasl
エージェント: unix
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:P
脆弱性情報
CPE: p-cpe:/a:fedoraproject:fedora:csync2, p-cpe:/a:fedoraproject:fedora:duplicity, p-cpe:/a:fedoraproject:fedora:librsync, p-cpe:/a:fedoraproject:fedora:rdiff-backup, cpe:/o:fedoraproject:fedora:21
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list