Scientific Linux セキュリティ更新:SL7.x x86_64 の glibc

medium Nessus プラグイン ID 82250
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

glibc の iconv() 関数が、エンコードされた特定のデータを UTF-8 に変換する方法に、境界外の読み取りの欠陥が見つかりました。特別に細工された引数でアプリケーションに iconv() 関数を呼び出させることができる攻撃者が、この欠陥を利用して、アプリケーションをクラッシュさせる可能性があります。
(CVE-2014-6040)

ネームサービススイッチ(NSS)のファイルバックエンドが、データベース全体の反復処理を、キーベースの検索 API 呼び出しから隔離しなかったことが見つかりました。データベース上で反復処理の実行中に、データベース上の検索を実行するアプリケーションが無限ループに入り、サービス拒否を引き起こす可能性があります。(CVE-2014-8121)

この更新は以下のバグも修正します:

- バッファ拡張および再配置の問題により、長いネットグループエントリを処理する際に、セグメンテーション違反によって nscd デーモンが予期せず終了しました。この更新により、長いネットグループエントリの処理が修正され、上記のシナリオで nscd がクラッシュすることはありません。

- アペンドモードで開かれたファイルが ftruncate() 関数で切り捨てられた場合、その後の ftell() 呼び出しが、ファイルオフセットを不適切に変更する可能性がありました。この更新により、ftell() がアペンドモードであり、ストリームのバッファが空でない場合のみ、ftell() がストリームのステートを変更することを保証します。

- C ライブラリヘッダーの不具合により、より古いコンパイラを持つビルドが、より古い互換性の C++ 標準ライブラリの btowc() 関数に対して正しくないコードを生成していました。互換性 C++ 標準ライブラリの btowc() を呼び出すアプリケーションが無反応になりました。
この更新により、C ライブラリヘッダーが修正され、Scientific Linux に付属している互換性 C++ 標準ライブラリは再構築されました。
互換性 C++ 標準ライブラリに依存するアプリケーションが、 btowc() を呼び出す際にハングすることはありません。

- 以前は、ネットグループを使用し、nscd デーモンがネットグループの情報をキャッシュするように設定されている場合、sudo ユーティリティは有効なユーザーへのアクセスを拒否していました。nscd のバグは修正され、sudo は現在ネットグループで予想通り稼働しています。

ソリューション

影響を受けるパッケージを更新してください。

関連情報

http://www.nessus.org/u?2d58140a

プラグインの詳細

深刻度: Medium

ID: 82250

ファイル名: sl_20150305_glibc_on_SL7_x.nasl

バージョン: 1.4

タイプ: local

エージェント: unix

公開日: 2015/3/26

更新日: 2021/1/14

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

Base Score: 5

ベクトル: AV:N/AC:L/Au:N/C:N/I:N/A:P

脆弱性情報

CPE: p-cpe:/a:fermilab:scientific_linux:glibc, p-cpe:/a:fermilab:scientific_linux:glibc-common, p-cpe:/a:fermilab:scientific_linux:glibc-debuginfo, p-cpe:/a:fermilab:scientific_linux:glibc-debuginfo-common, p-cpe:/a:fermilab:scientific_linux:glibc-devel, p-cpe:/a:fermilab:scientific_linux:glibc-headers, p-cpe:/a:fermilab:scientific_linux:glibc-static, p-cpe:/a:fermilab:scientific_linux:glibc-utils, p-cpe:/a:fermilab:scientific_linux:nscd, x-cpe:/o:fermilab:scientific_linux

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/RedHat/release, Host/RedHat/rpm-list

パッチ公開日: 2015/3/5

脆弱性公開日: 2014/12/5

参照情報

CVE: CVE-2014-6040, CVE-2014-8121