Mandriva Linux セキュリティアドバイザリ:libtasn1(MDVSA-2015:116)

medium Nessus プラグイン ID 82369

概要

リモート Mandriva Linux ホストには、1 つ以上のセキュリティ更新がありません。

説明

更新済みの libtasn1 パッケージでは、次のセキュリティの脆弱性が修正されています:

libtasn1 ライブラリで、割り当てられたバッファの境界を超えて読み取りが行われる、複数のバッファ境界検査の問題が見つかりました。信頼されない ASN.1 入力により、このライブラリを使用するアプリケーションがクラッシュする可能性があります(CVE-2014-3467)。

libtasn1 ライブラリ関数の asn1_get_bit_der() が ASN.1 入力から読み取った値のネガティブビット長を間違って報告する可能性があることがわかりました。これにより、libtasn1 を使用するアプリケーションで、たとえば、アプリケーションが NULL バイトを使って読み取り値を終了しようとした場合など、領域外のアクセスが生じる可能性があります(CVE-2014-3468)。

NULL ポインターデリファレンスの欠陥が、libtasn1 の asn1_read_value_type() / asn1_read_value() 関数で見つかりました。アプリケーションが、 ASN.1 入力から読み取るデータの保存に必要なメモリ量を特定するために、 NULL 値を使って ivalue 引数に対して関数を呼び出した場合、 libtasn1 が間違って NULL ポインターを逆参照しようとするため、ライブラリを使用しているアプリケーションがクラッシュする可能性があります(CVE-2014-3469)。

ソリューション

影響を受ける lib64tasn1-devel、lib64tasn1_6、および/または libtasn1 のツールパッケージを更新してください。

参考資料

http://advisories.mageia.org/MGASA-2014-0247.html

プラグインの詳細

深刻度: Medium

ID: 82369

ファイル名: mandriva_MDVSA-2015-116.nasl

バージョン: 1.4

タイプ: local

公開日: 2015/3/30

更新日: 2021/1/14

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

基本値: 6.8

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: cpe:/o:mandriva:business_server:2, p-cpe:/a:mandriva:linux:lib64tasn1-devel, p-cpe:/a:mandriva:linux:lib64tasn1_6, p-cpe:/a:mandriva:linux:libtasn1-tools

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

パッチ公開日: 2015/3/29

参照情報

CVE: CVE-2014-3467, CVE-2014-3468, CVE-2014-3469

MDVSA: 2015:116