Scientific Linux セキュリティ更新:SL7.x x86_64 の binutils

high Nessus プラグイン ID 87550

概要

リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

さまざまな binutils ユーティリティに使用される libbdf ライブラリで、複数のバッファオーバーフロー欠陥が見つかりました。ユーザーが libbdf ライブラリを使用するアプリケーションで、特別に細工されたファイルの処理をさせられると、アプリケーションのクラッシュや、任意のコードの実行を引き起こすおそれががあります。(CVE-2014-8485、 CVE-2014-8501、CVE-2014-8502、CVE-2014-8503、 CVE-2014-8504、CVE-2014-8738)

さまざまな binutils ユーティリティに使用される libbdf ライブラリに、整数オーバーフローの欠陥が見つかりました。ユーザーが libbdf ライブラリを使用するアプリケーションで、特別に細工されたファイルの処理をさせられると、アプリケーションのクラッシュを引き起こすおそれがあります。(CVE-2014-8484)

strip および objcopy ユーティリティで、ディレクトリトラバーサル欠陥が見つかりました。特別に細工されたファイルにより、strip または objdump ユーティリティのどちらかを実行しているユーザーのみが書き込み可能な任意のファイルが、 strip または objdump によって上書きされるおそれがあります。(CVE-2014-8737)

この更新は次のバグを修正します :

- システムローダーにより開始されたバイナリファイルは、アプリケーションがビルドされる際に明示的に要求されているにもかかわらず Relocation Read-Only(RELRO)保護が欠如しています。
このバグは複数のアーキテクチャで修正されています。
この不具合を修正するため、binutils の alpha または beta バージョンでビルドされたアプリケーションおよびすべての依存するオブジェクトファイル、アーカイブ、およびライブラリをリビルドする必要があります。

- 64 ビットの PowerPC 上の Id リンカーは現在、PowerPC 以外の形式でバイナリの生成が要求されると、出力形式を正しくチェックするようになりました。

- デバッグされるバイナリに対する symbol テーブルを保留する重要な変数が恒久化され、64 ビットの PowerPC の objdump ユーティリティが無効なメモリ領域を読み取らずに必要な情報へアクセスできるようになりました。

- SLBA-2015:0974 に記述される好ましくないランタイムリロケーション。

更新により、以下の拡張機能が追加されます。

- IBM z Systems z13 の新しいハードウェア命令がアセンブラ、逆アセンブラ、リンカーでサポートされ、Single Instruction Multiple Data(SIMD)命令もサポートされるようになりました。

- フォームの表現:FUNC 関数(定義されている場合)のローカルエントリーポイントを参照するための「FUNC@localentry」が PowerPC アセンブラーでサポートされるようになりました。これらは、IBM Power System の little-endian 変種上で ELFv2 ABI により要求されます。

ソリューション

影響を受ける binutils、binutils-debuginfo および/または binutils-devel パッケージを更新してください。

参考資料

http://www.nessus.org/u?96b569b1

プラグインの詳細

深刻度: High

ID: 87550

ファイル名: sl_20151119_binutils_on_SL7_x.nasl

バージョン: 2.4

タイプ: local

エージェント: unix

公開日: 2015/12/22

更新日: 2021/1/14

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

Base Score: 7.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:fermilab:scientific_linux:binutils, p-cpe:/a:fermilab:scientific_linux:binutils-debuginfo, p-cpe:/a:fermilab:scientific_linux:binutils-devel, x-cpe:/o:fermilab:scientific_linux

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

パッチ公開日: 2015/11/19

脆弱性公開日: 2014/12/9

参照情報

CVE: CVE-2014-8484, CVE-2014-8485, CVE-2014-8501, CVE-2014-8502, CVE-2014-8503, CVE-2014-8504, CVE-2014-8737, CVE-2014-8738