Debian DLA-598-1：suckless-tools セキュリティ更新

high Nessus プラグイン ID 93053

Language:

概要

リモートの Debian ホストにセキュリティ更新がありません。

説明

ユーザーのアカウントが無効だった場合に slock スクリーンロックツールでセグメンテーション違反が発生していたことが判明しました。

slock は crypt(3) を呼び出し、crypt(3) の戻り値が NULL ポインターであるかどうかをチェックすることなく strcmp(3) の戻り値を使用していました。(getspnam()->sp_pwdp) から返されたハッシュが無効だった場合、crypt(3) は NULL を返し、errno を EINVAL に設定していました。これにより slock にセグメンテーション違反が発生し、マシンが保護されていない状態になっていました。

Debian 7「Wheezy」では、この問題は suckless-tools バージョン 38-2+deb7u1 で修正されています。

suckless-tools パッケージをアップグレードすることを推奨します。

注：Tenable Network Security は、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。