gssntlmssp-1.2.0-1.el8.ML.1

エラータID: AXSA:2023-6149:01

リリース日: 
2023/06/28 Wednesday - 01:14
題名: 
gssntlmssp-1.2.0-1.el8.ML.1
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- GSS-NTLMSSP には、NTLM フィールドをデコードする複数の
関数に境界外読み取りが発生する問題があるため、リモートの
攻撃者により、4GB を超える長さのトークンを許可するアプリ
ケーション上の gss_accept_sec_context エントリーポイントを
介して、サービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2023-25563)

- GSS-NTLMSSP の UTF-16 文字列をデコードする関数には、
メモリ破壊に至る問題があるため、リモートの攻撃者により、
ntlm_str_convert() 関数の失敗を介して、サービス拒否攻撃を
可能とする脆弱性が存在します。(CVE-2023-25564)

- GSS-NTLMSSP の gss_accept_sec_context() 関数には、free(3)
関数利用時のアサーションに失敗する問題があるため、リモート
の攻撃者により、デコード処理時の不正なメモリ領域の解放操作
を介して、サービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2023-25565)

- GSS-NTLMSSP の gss_accept_sec_context() 関数には、メモリ
リークの問題があるため、リモートの攻撃者により、細工された
ユーザー名の解析を介して、サービス拒否攻撃を可能とする脆弱性
が存在します。(CVE-2023-25566)

- GSS-NTLMSSP の gss_accept_sec_context() 関数には、av_pair
変数のチェック処理の不備に起因するメモリ領域の範囲外読み取り
の問題があるため、リモートの攻撃者により、サービス拒否攻撃を
可能とする脆弱性が存在します。(CVE-2023-25567)

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. gssntlmssp-1.2.0-1.el8.ML.1.src.rpm
    MD5: 611dbb03bedfaae98014ac2be37a77c8
    SHA-256: af98095b3e8674e891336e5efcfa24bbd5c8218330a533935311e3cc8051d2fe
    Size: 474.94 kB

Asianux Server 8 for x86_64
  1. gssntlmssp-1.2.0-1.el8.ML.1.x86_64.rpm
    MD5: d101d040a88eb8887ba9a7312601bddd
    SHA-256: 5fa134d274573843686f4c3821581c11a846efc794ea0f5462f815c6020cf465
    Size: 71.99 kB