Ubuntu 12.04 LTS：eglibcのリグレッション（USN-3239-3）

high Nessus プラグイン ID 97936

Language:

概要

リモートのUbuntuホストにセキュリティ関連のパッチがありません。

説明

USN-3239-1ではGNU Cライブラリの脆弱性が修正されました。残念ながら、CVE-2016-3706の修正プログラムにより、特定の状況でIPv6アドレスが解決されないというリグレッションが発生しました。この更新プログラムは、Ubuntu 12.04 LTSの変更を元に戻します。エラーについてお詫び申し上げます。GNU Cライブラリがstrxfrm()関数を不適切に処理していることがわかりました。攻撃者がこの問題を悪用して、サービス拒否を引き起こしたり、任意のコードを実行したりする可能性があります。この問題の影響を受けるのは、Ubuntu 12.04 LTSとUbuntu 14.04 LTSのみです。（CVE-2015-8982）整数オーバーフローが、GNU Cライブラリの_IO_wstr_overflow()関数にあることがわかりました。攻撃者がこれを悪用して、サービス拒否を引き起こしたり、任意のコードを実行したりする可能性があります。この問題の影響を受けるのは、Ubuntu 12.04 LTSとUbuntu 14.04 LTSのみです。（CVE-2015-8983）GNU Cライブラリのfnmatch()関数が特定の不正な形式のパターンを適切に処理しないことがわかりました。攻撃者がこれを悪用して、サービス拒否を引き起こす可能性があります。この問題の影響を受けるのは、Ubuntu 12.04 LTSとUbuntu 14.04 LTSのみです。（CVE-2015-8984）Alexander Cherepanov氏は、スタックベースのバッファオーバーフローがGNU Cライブラリのglob実装にあることを発見しました。攻撃者がこれを悪用して、ディレクトリレイアウトに特別な細工を加え、サービス拒否を引き起こす可能性があります。（CVE-2016-1234）Michael Petlan氏は、無制限のスタック割り当てがGNU Cライブラリのgetaddrinfo()関数にあることを発見しました。攻撃者がこれを悪用して、サービス拒否を引き起こす可能性があります。（CVE-2016-3706）Aldy Hernandez氏は、無制限のスタック割り当てがGNU Cライブラリのsunrpc実装にあることを発見しました。攻撃者がこれを悪用して、サービス拒否を引き起こす可能性があります。（CVE-2016-4429）Tim Ruehsen氏は、GNU Cライブラリのgetaddrinfo()実装がメモリ割り当てを適切に追跡しないことを発見しました。攻撃者がこれを悪用して、サービス拒否を引き起こす可能性があります。この問題の影響を受けるのは、Ubuntu 16.04 LTSのみです。（CVE-2016-5417）Andreas Schwab氏は、ARM 32ビットプラットフォームのGNU Cライブラリが実行コンテキストを適切に設定しないことを発見しました。攻撃者がこれを悪用して、サービス拒否を引き起こす可能性があります。（CVE-2016-6323）注意：Tenable Network Securityは、前述の説明ブロックをUbuntuセキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

ソリューション

影響を受けるlibc6パッケージを更新してください。

参考資料

https://usn.ubuntu.com/3239-3/

プラグインの詳細

深刻度: High

ID: 97936

ファイル名: ubuntu_USN-3239-3.nasl

バージョン: 3.8

タイプ: local

エージェント: unix

ファミリー: Ubuntu Local Security Checks

公開日: 2017/3/24

更新日: 2023/1/12

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus