Amazon Linux AMI:libgcrypt(ALAS-2015-577)
medium Nessus プラグイン ID 85232
Language:
概要
リモート Amazon Linux AMI ホストに、セキュリティ更新がありません。説明
冪剰余におけるデータ依存のタイミング変動に対するサイドチャネル攻撃を修正します。これは、情報漏洩が発生する可能性のある攻撃です。(CVE-2015-0837)情報漏洩を引き起こす可能性のあるサイドチャネル攻撃を修正します。(CVE-2014-3591)
GnuPG およびその他の製品で使用される、1.5.4 より前の Libgcrypt は、暗号文正規化および暗号文ランダム化を正しく実行しません。このため、物理的に接近した攻撃者が、ALAS-2014-278 で修正された CVE-2013-4576 のベクトルとは異なる、露出した金属から電圧データを収集する機能を利用して、簡単にキー抽出攻撃を実行できるようになります。(CVE-2014-5270)
ソリューション
「yum update libgcrypt」を実行して、お使いのシステムを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 85232
ファイル名: ala_ALAS-2015-577.nasl
バージョン: 2.4
タイプ: local
エージェント: unix
公開日: 2015/8/5
更新日: 2019/12/16
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Medium
基本値: 4.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N
CVSS v3
リスクファクター: Medium
基本値: 5.9
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
脆弱性情報
CPE: p-cpe:/a:amazon:linux:libgcrypt, p-cpe:/a:amazon:linux:libgcrypt-debuginfo, p-cpe:/a:amazon:linux:libgcrypt-devel, cpe:/o:amazon:linux
必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
パッチ公開日: 2015/8/4
脆弱性公開日: 2014/10/10
参照情報
CVE: CVE-2014-3591, CVE-2014-5270, CVE-2015-0837
ALAS: 2015-577