RHEL 7:binutils(RHSA-2015:2079)
high Nessus プラグイン ID 86928
言語:
概要
リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。説明
複数のセキュリティ問題といくつかのバグを修正し、さまざまな強化を追加する更新済みの binutils パッケージが、Red Hat Enterprise Linux 7 で現在利用可能です。Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中として評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System (CVSS)のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。
binutils パッケージは、バイナリユーティリティのセットを提供します。
さまざまな binutils ユーティリティに使用される libbdf ライブラリで、複数のバッファオーバーフロー欠陥が見つかりました。ユーザーが libbdf ライブラリを使用するアプリケーションで、特別に細工されたファイルの処理をさせられると、アプリケーションのクラッシュや、任意のコードの実行を引き起こすおそれががあります。(CVE-2014-8485、 CVE-2014-8501、CVE-2014-8502、CVE-2014-8503、 CVE-2014-8504、CVE-2014-8738)
さまざまな binutils ユーティリティに使用される libbdf ライブラリに、整数オーバーフローの欠陥が見つかりました。ユーザーが libbdf ライブラリを使用するアプリケーションで、特別に細工されたファイルの処理をさせられると、アプリケーションのクラッシュを引き起こすおそれがあります。(CVE-2014-8484)
strip および objcopy ユーティリティで、ディレクトリトラバーサル欠陥が見つかりました。特別に細工されたファイルにより、strip または objdump ユーティリティのどちらかを実行しているユーザーのみが書き込み可能な任意のファイルが、 strip または objdump によって上書きされるおそれがあります。(CVE-2014-8737)
この更新は次のバグを修正します :
* システムローダーにより開始されたバイナリファイルは、アプリケーションがビルドされる際に明示的に要求されているにもかかわらず Relocation Read-Only(RELRO)保護が欠如しています。このバグは複数のアーキテクチャで修正されています。この不具合を修正するため、binutils の alpha または beta バージョンでビルドされたアプリケーションおよびすべての依存するオブジェクトファイル、アーカイブ、およびライブラリをリビルドする必要があります。(BZ#1200138、BZ#1175624)
* 64 ビットの PowerPC 上の Id リンカーは現在、PowerPC 以外の形式でバイナリの生成が要求されると、出力形式を正しくチェックするようになりました。
(BZ#1226864)
* デバッグされるバイナリに対する symbol テーブルを保留する重要な変数が恒久化され、64 ビットの PowerPC の objdump ユーティリティが無効なメモリ領域を読み取らずに必要な情報へアクセスできるようになりました。(BZ#1172766)
* RHBA-2015:0974 に記述される好ましくないランタイムリロケーション。
(BZ#872148)
更新により、以下の拡張機能が追加されます。
* IBM z Systems z13 の新しいハードウェア命令がアセンブラ、逆アセンブラ、リンカーでサポートされ、Single Instruction Multiple Data(SIMD)命令もサポートされるようになりました。(BZ#1182153)
* フォームの表現:FUNC 関数(定義されている場合)のローカルエントリーポイントを参照するための「[email protected]」が PowerPC アセンブラーでサポートされるようになりました。これらは、IBM Power System の little-endian 変種上で ELFv2 ABI により要求されます。(BZ#1194164)
binutils の全ユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、これらの問題を修正し、これらの拡張機能を追加することが推奨されます。
ソリューション
影響を受ける binutils、binutils-debuginfo および/または binutils-devel パッケージを更新してください。関連情報
https://access.redhat.com/errata/RHSA-2015:2079
https://access.redhat.com/security/cve/cve-2014-8484
https://access.redhat.com/security/cve/cve-2014-8485
https://access.redhat.com/security/cve/cve-2014-8501
https://access.redhat.com/security/cve/cve-2014-8502
https://access.redhat.com/security/cve/cve-2014-8503
https://access.redhat.com/security/cve/cve-2014-8504
プラグインの詳細
深刻度: High
ID: 86928
ファイル名: redhat-RHSA-2015-2079.nasl
バージョン: 2.12
タイプ: local
エージェント: unix
公開日: 2015/11/19
更新日: 2019/10/24
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
Base Score: 7.5
Temporal Score: 5.5
ベクトル: AV:N/AC:L/Au:N/C:P/I:P/A:P
現状ベクトル: E:U/RL:OF/RC:C
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:binutils, p-cpe:/a:redhat:enterprise_linux:binutils-debuginfo, p-cpe:/a:redhat:enterprise_linux:binutils-devel, cpe:/o:redhat:enterprise_linux:7, cpe:/o:redhat:enterprise_linux:7.2, cpe:/o:redhat:enterprise_linux:7.3, cpe:/o:redhat:enterprise_linux:7.4, cpe:/o:redhat:enterprise_linux:7.5, cpe:/o:redhat:enterprise_linux:7.6, cpe:/o:redhat:enterprise_linux:7.7
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2015/11/19
脆弱性公開日: 2014/12/9
参照情報
CVE: CVE-2014-8484, CVE-2014-8485, CVE-2014-8501, CVE-2014-8502, CVE-2014-8503, CVE-2014-8504, CVE-2014-8737, CVE-2014-8738
RHSA: 2015:2079