edk2-20220126gitbb1bba3d77-13.el8

エラータID: AXSA:2024-8236:06

リリース日: 
2024/06/15 Saturday - 04:15
題名: 
edk2-20220126gitbb1bba3d77-13.el8
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- EDK II の Tcg2MeasureGptTable() 関数には、GPT
プライマリヘッダーの解析処理の不備に起因した整数
オーバーフローおよびバッファーオーバーフローの問題
があるため、ローカルの攻撃者により、サービス拒否攻撃
(クラッシュの発生) を可能とする脆弱性が存在します。
(CVE-2022-36763)

- EDK II は Tcg2MeasurePeImage() 関数には、整数オーバー
フローに起因するヒープ領域のバッファーオーバーフロー
の問題があるため、ローカルの攻撃者により、ローカル
ネットワーク経由でのアクセスを介して、情報の漏洩、
およびサービス拒否攻撃 (クラッシュの発生) を可能とする
脆弱性が存在します。(CVE-2022-36764)

- EDK II の CreateHob() 関数には、整数オーバーフロー
に起因するバッファーオーバーフローの問題があるため、
ローカルの攻撃者により、ローカルネットワーク経由での
アクセスを介して、情報の漏洩、およびサービス拒否攻撃
(クラッシュの発生) を可能とする脆弱性が存在します。
(CVE-2022-36765)

- EDK II のネットワークパッケージには、メモリ領域の
範囲外読み取りの問題があるため、近隣ネットワーク
の攻撃者により、細工された DHCPv6 アドバタイズ
メッセージの送信を介して、情報の漏洩を可能とする
脆弱性が存在します。(CVE-2023-45229)

- EDK II のネットワークパッケージには、メモリ領域の
範囲外読み取りの問題があるため、近隣ネットワーク上
の攻撃者により、巧妙に細工された NDP プロトコルの
リダイレクトメッセージを介して、情報の漏洩を可能
とする脆弱性が存在します。(CVE-2023-45231)

- EDK II のネットワークパッケージには、意図しない
無限ループに至る問題があるため、リモートの攻撃者
により、巧妙に細工された宛先オプションが付加された
IPv6 パケットの解析を介して、サービス拒否攻撃を可能
とする脆弱性が存在します。(CVE-2023-45232)

- EDK II のネットワークパッケージには、IPv6 プロトコル
の宛先オプションヘッダー内の PadN オプション値の
解析時に無限ループを発生させてしまう問題があるため、
リモートの攻撃者により、細工された IPv6 パケットの
送信を介して、サービス拒否攻撃を可能とする脆弱性が
存在します。(CVE-2023-45233)

- EDK II のネットワークパッケージには、DHCPv6
プロキシーアドバタイズメッセージ内のサーバー ID
オプション値を処理する際にバッファーオーバーフロー
してしまう問題があるため、近隣ネットワーク上の
攻撃者により、細工された DHCPv6 プロキシー
アドバタイズメッセージを介して、情報の漏洩、および
サービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2023-45235)

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. edk2-20220126gitbb1bba3d77-13.el8.src.rpm
    MD5: 21ebf8ae22cd71e8bf4c3240191aa491
    SHA-256: 8d05d832c37a098437d53e3ff34941b99a5d4dee1f03fa9f41ef492d520b202d
    Size: 14.67 MB

Asianux Server 8 for x86_64
  1. edk2-ovmf-20220126gitbb1bba3d77-13.el8.noarch.rpm
    MD5: b55dae85a278fd850044dd5ec69a1ea6
    SHA-256: d88a0144657079114b3683dc4837b16dc5b285b98717ccac21a892b9c02b8e3e
    Size: 3.63 MB