libevent-2.0.21-4.0.1.el7.AXS7

エラータID: AXSA:2025-9720:01

リリース日: 
2025/03/04 Tuesday - 16:17
題名: 
libevent-2.0.21-4.0.1.el7.AXS7
影響のあるチャネル: 
Asianux Server 7 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- libevent の evdns.c の name_parse() 関数には、スタック領域
の範囲外読み取りの問題があるため、リモートの攻撃者により、
細工された DNS 応答パケットの送信を介して、情報の漏洩を
可能とする脆弱性が存在します。(CVE-2016-10195)

- libevent の evutil.c の evutil_parse_sockaddr_port() 関数には、
スタック領域のバッファーオーバーフローの問題があるため、
リモートの攻撃者により、2GiByte を超える長さを持つように
細工された IPv6 アドレスの解析処理の実行を介して、サービス
拒否攻撃 (セグメンテーションフォルトの発生) を可能とする
脆弱性が存在します。(CVE-2016-10196)

- libevent の evdns.c の search_make_new() 関数には、メモリ
領域の範囲外読み取りの問題があるため、リモートの攻撃者に
より、細工されたホスト名の処理を介して、サービス拒否攻撃
を可能とする脆弱性が存在します。(CVE-2016-10197)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2016-10197
The search_make_new function in evdns.c in libevent before 2.1.6-beta allows attackers to cause a denial of service (out-of-bounds read) via an empty hostname.
CVE-2016-10195
The name_parse function in evdns.c in libevent before 2.1.6-beta allows remote attackers to have unspecified impact via vectors involving the label_len variable, which triggers an out-of-bounds stack read.
CVE-2016-10196
Stack-based buffer overflow in the evutil_parse_sockaddr_port function in evutil.c in libevent before 2.1.6-beta allows attackers to cause a denial of service (segmentation fault) via vectors involving a long string in brackets in the ip_as_string argument.
追加情報: 

N/A

ダウンロード: 

Asianux Server 7 for x86_64
  1. libevent-2.0.21-4.0.1.el7.AXS7.i686.rpm
    MD5: 1e7c4fdb8d5e894d054b2e1799e60339
    SHA-256: 0a9c166e2f4a5dbe3486932debbd841bd4707aea4a26c084b3cb8df946bc7040
    Size: 211.43 kB
  2. libevent-2.0.21-4.0.1.el7.AXS7.x86_64.rpm
    MD5: b597469c8b18bc2f30600772306b4836
    SHA-256: 9b24b189532d67977aa7279699fcbea78cbdd241d640d5a5fa66a421fa4ea0ed
    Size: 213.60 kB