Ubuntu 14.04 LTS: GNU patch の脆弱性 (USN-2651-1)

high Nessus プラグイン ID 84339

Language:

概要

リモート Ubuntu ホストに 1 つ以上のセキュリティ更新がありません。

説明

Jakub Wilk 氏は、GNU パッチがパッチファイルでファイルパスを適切に処理しないことを発見しました。攻撃者は、プログラムを起動しているユーザーの権限で任意のファイルを上書きできるパッチファイルを特別に細工することができます。この問題の影響を受けるのは、Ubuntu 12.04 LTSのみです。
(CVE-2010-4651)

Laszlo Boszormenyi 氏は、GNU パッチが一部のパッチファイルを適切に処理しないことを発見しました。攻撃者が、サービス拒否を引き起こす可能性があるパッチファイルを特別に細工する可能性があります。(CVE-2014-9637)

Jakub Wilk 氏は、GNU パッチが git 形式のパッチファイルでシンボリックリンクを適切に処理しないことを発見しました。攻撃者は、プログラムを起動しているユーザーの権限で任意のファイルを上書きできるパッチファイルを特別に細工することができます。この問題の影響を受けるのは、Ubuntu 14.04 LTSとUbuntu 14.10のみです。（CVE-2015-1196）

Jakub Wilk 氏は、GNU パッチが git 形式のパッチファイルでファイルの名前の変更を適切に処理しないことを発見しました。攻撃者は、プログラムを起動しているユーザーの権限で任意のファイルを上書きできるパッチファイルを特別に細工することができます。この問題の影響を受けるのは、Ubuntu 14.04 LTSとUbuntu 14.10のみです。（CVE-2015-1395）

Jakub Wilk 氏は、CVE-2015-1196 の修正が GNU パッチに対して不完全であることを発見しました。攻撃者は、プログラムを起動しているユーザーの権限で任意のファイルを上書きできるパッチファイルを特別に細工することができます。この問題の影響を受けるのは、Ubuntu 14.04 LTSとUbuntu 14.10のみです。
(CVE-2015-1396)。

注意: Tenable Network Security は、前述の説明ブロックをUbuntuセキュリティアドバイザリからすでに直接抽出しています。Tenable では、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

ソリューション

影響を受けるパッチパッケージを更新してください。

参考資料

https://ubuntu.com/security/notices/USN-2651-1

プラグインの詳細

深刻度: High

ID: 84339

ファイル名: ubuntu_USN-2651-1.nasl

バージョン: 2.13

タイプ: local

エージェント: unix

ファミリー: Ubuntu Local Security Checks

公開日: 2015/6/23

更新日: 2023/10/23

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus