Amazon Linux AMI：binutils (ALAS-2015-620)

high Nessus プラグイン ID 87346

Language:

概要

リモートのAmazon Linux AMIホストに、セキュリティ更新プログラムがありません。

説明

strip および objcopy ユーティリティで、ディレクトリトラバーサル欠陥が見つかりました。特別に細工されたファイルにより、strip または objdump ユーティリティのどちらかを実行しているユーザーのみが書き込み可能な任意のファイルが、 strip または objdump によって上書きされるおそれがあります。

さまざまな binutils ユーティリティが特定のファイルを処理する方法で、バッファオーバーフローの欠陥が見つかりました。ユーザーが騙されて特別に細工されたファイルを処理すると、ファイル処理に使用されたユーティリティがクラッシュしたり、ユーティリティを実行しているユーザーの権限で任意のコードが実行されたりする可能性があります。

文字列ユーティリティが特定のファイルを処理する方法で、整数オーバーフローの欠陥が見つかりました。ユーザーが騙されて、特別に細工されたファイル上で文字列ユーティリティを実行した場合、文字列のクラッシュが実行可能となる可能性があります。

libbfd ライブラリの SREC パーサーに、スタックベースのバッファオーバーフローの欠陥が見つかりました。特別に細工されたファイルにより、libbfd ライブラリを使用するアプリケーションがクラッシュしたり、アプリケーションを実行しているユーザーの権限で任意のコードを実行したりする可能性があります。

特定の binutils ユーティリティがアーカイブファイルを処理する方法で、ヒープベースのバッファオーバーフローの欠陥が見つかりました。ユーザーが騙されて特別に細工されたアーカイブファイルを処理すると、アーカイブ処理に使用されたユーティリティがクラッシュしたり、ユーティリティを実行しているユーザーの権限で任意のコードが実行されたりする可能性があります。

さまざまな binutils ユーティリティが特定のファイルを処理する方法で、スタックベースのバッファオーバーフローの欠陥が見つかりました。ユーザーが騙されて特別に細工されたファイルを処理すると、ファイル処理に使用されたユーティリティがクラッシュしたり、ユーティリティを実行しているユーザーの権限で任意のコードが実行されたりする可能性があります。

objdump が IHEX ファイルを処理する方法で、スタックベースのバッファオーバーフローの欠陥が見つかりました。特別に細工された IHEX ファイルにより、objdump がクラッシュしたり、objdump を実行しているユーザーの権限で任意のコードを実行したりする可能性があります。

CVE-2014-8485 の問題の修正が不完全であることが判明しました。
objdump ユーティリティのヒープベースのバッファオーバーフローにより、特別に細工されたファイルを処理する際に、objdump ユーティリティがクラッシュしたり、objdump を実行しているユーザーの権限で任意のコードを実行したりする可能性があります。