AIX NAS Advisory：nas_advisory3.asc

high Nessus プラグイン ID 83874

Language:

概要

AIX リモートホストに、複数の脆弱性の影響を受けるバージョンの NAS がインストールされています。

説明

AIX リモートホストにインストールされたバージョンのネットワーク認証サービス（NAS）は、Kerberos 5 に関連する以下の脆弱性の影響を受けます。

- セキュリティコンテキスト処理が適切にメンテナンスされていないために、サービス拒否およびリモートコード実行の脆弱性が存在し、細工された GSSAPI トラフィックを利用して、認証されたリモートの攻撃者がサービスをクラッシュさせたり、任意のコードを実行したりする可能性があります。
(CVE-2014-5352)

- 0 バイトまたは終端されていない文字列の処理が不適切なために、サービス拒否の脆弱性が存在します。
(CVE-2014-5355)

- サービス拒否およびリモートコード実行の脆弱性が存在し、細工された無効な形式の XDR データを利用して、認証されているリモートの攻撃者がサービスをクラッシュさせたり、任意のコードを実行したりする可能性があります。
(CVE-2014-9421)

- 権限昇格の脆弱性が存在し、認証されたリモートの攻撃者が、kadmin 認証チェックの欠陥を介して、管理者のアクセス権を取得する可能性があります。
(CVE-2014-9422)

- 情報漏洩の脆弱性により、攻撃者が NAS パケットからプロセスヒープメモリに関する情報を取得する可能性があります。(CVE-2014-9423)

ソリューション

修正は、1.5.0.7 および 1.6.0.2 レベルのソフトウェアで利用可能で、AIX Web サイトからダウンロードできます。

NAS ファイルセットレベル 1.5.0.7 については、 krb5.client.rte がインストールされている場合にのみ ifix 1507c_fix.150404.epkg.Z を適用します。krb5.server.rte がインストールされている場合には、1507s_fix.150407.epkg.Z を適用します。

NAS ファイルセットレベル 1.6.0.2 については、 krb5.client.rte がインストールされている場合にのみ ifix 1602c_fix.150404.epkg.Z を適用します。krb5.server.rte がインストールされている場合には、1602s_fix.150407.epkg.Z を適用します。

NAS ファイルセットレベル 1.5.0.3-1.5.0.4 については、NAS ファイルセットレベル 1.6.0.2 にアップグレードし、krb5.client.rte のみがインストールされている場合は、ifix 1602c_fix.150404.epkg.Z を適用してください。そうでなければ、krb5.server.rte がインストールされている場合は、1602s_fix.150407.epkg.Z を適用してください。

その他のすべての NAS ファイルセットレベルについては、NAS ファイルセットレベル 1.5.0.7 にアップグレードし、krb5.client.rte のみがインストールされている場合は、ifix 1507c_fix.150404.epkg.Z を適用してください。そうでなければ、krb5.server.rte がインストールされている場合は、1507s_fix.150407.epkg.Z を適用してください。