Mandriva Linux セキュリティアドバイザリ:egroupware(MDVSA-2015:087)

high Nessus プラグイン ID 82340

概要

リモート Mandriva Linux ホストには、1 つ以上のセキュリティ更新がありません。

説明

更新済みの egroupware パッケージは、次のセキュリティの脆弱性を修正します:

1.8.006.20140217 より前の eGroupware は、ユーザー入力が PHP の unserialize() メソッドに渡されることによる、リモートファイルの削除およびリモートコードの実行の可能性に脆弱です(CVE-2014-2027)。

1.8.007 以前の eGroupWare では、管理者権限を持つログインユーザーが、サーバーで任意のコマンドをリモートで実行できます。これはクロスサイトリクエスト偽造脆弱性の影響も受けやすく、新しい管理者ユーザーの作成を可能にします。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://advisories.mageia.org/MGASA-2014-0116.html

http://advisories.mageia.org/MGASA-2014-0221.html

プラグインの詳細

深刻度: High

ID: 82340

ファイル名: mandriva_MDVSA-2015-087.nasl

バージョン: 1.5

タイプ: local

公開日: 2015/3/30

更新日: 2021/1/14

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

Base Score: 7.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:mandriva:linux:egroupware, p-cpe:/a:mandriva:linux:egroupware-bookmarks, p-cpe:/a:mandriva:linux:egroupware-calendar, p-cpe:/a:mandriva:linux:egroupware-developer_tools, p-cpe:/a:mandriva:linux:egroupware-egw-pear, p-cpe:/a:mandriva:linux:egroupware-emailadmin, p-cpe:/a:mandriva:linux:egroupware-felamimail, p-cpe:/a:mandriva:linux:egroupware-filemanager, p-cpe:/a:mandriva:linux:egroupware-gallery, p-cpe:/a:mandriva:linux:egroupware-importexport, p-cpe:/a:mandriva:linux:egroupware-infolog, p-cpe:/a:mandriva:linux:egroupware-manual, p-cpe:/a:mandriva:linux:egroupware-news_admin, p-cpe:/a:mandriva:linux:egroupware-notifications, p-cpe:/a:mandriva:linux:egroupware-phpbrain, p-cpe:/a:mandriva:linux:egroupware-phpsysinfo, p-cpe:/a:mandriva:linux:egroupware-polls, p-cpe:/a:mandriva:linux:egroupware-projectmanager, p-cpe:/a:mandriva:linux:egroupware-registration, p-cpe:/a:mandriva:linux:egroupware-sambaadmin, p-cpe:/a:mandriva:linux:egroupware-sitemgr, p-cpe:/a:mandriva:linux:egroupware-syncml, p-cpe:/a:mandriva:linux:egroupware-timesheet, p-cpe:/a:mandriva:linux:egroupware-tracker, p-cpe:/a:mandriva:linux:egroupware-wiki, cpe:/o:mandriva:business_server:2

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

パッチ公開日: 2015/3/28

参照情報

CVE: CVE-2014-2027

MDVSA: 2015:087