openslpの脆弱性情報(CVE-2019-5544)が公開されました。
以下をご確認いただき、対策を実施してください。

openslpの脆弱性(CVE-2019-5544)情報

・CVE-2019-5544
 openslp: Heap-based buffer overflow in ProcessSrvRqst() in
 slpd_process.c leading to remote code execution

対象環境

	RHEL8	RHEL7	RHEL6
ESMPRO/ServerAgentService(全バージョン)	影響なし	影響あり	影響なし(※)
ESMPRO/ServerAgent(全バージョン)	影響なし	影響なし	影響なし

 ※脆弱性情報(CVE-2019-5544)と該当するBugzilla 1777788を確認したところ、
  バッファオーバーフローするロジックはslpdサービス側にしかなく、
  slpdサービスが存在しないRHEL6も、本脆弱性は発生しません。

■ESMPRO/ServerAgentService, ESMPRO/ServerAgentが
 インストールされているかどうか確認する方法
  1)rootユーザーでログインします。
  2)インストールされているパッケージを確認します。
    # rpm -qa | grep Esmpro

  Esmpro-Providerがインストールされている場合、
  ESMPRO/ServerAgentServiceがインストールされています。

  Esmpro-commonがインストールされている場合、
  ESMPRO/ServerAgentがインストールされています。

対策

 本脆弱性を修正したopenslpパッケージがRed Hat社から公開されています。
  RHSA-2019:4240

 影響があるRed Hat Enterprise Linux 7環境の場合は、
 アップデートをお願いします。

openslpパッケージとの関係

・ESMPRO/ServerAgentServiceのESMPROプロバイダは、
 cim serverとして、tog-pegasusを使用しています。

 tog-pegasusの依存パッケージにtog-pegasus-libsがあり、
 tog-pegasus-libsの依存パッケージにopenslpがあります。

  Esmpro-Providerパッケージ
   -> tog-pegasusパッケージ
     -> tog-pegasus-libsパッケージ
       -> openslpパッケージ

・ESMPRO/ServerAgentは、本脆弱性に関連するパッケージは
 使用しておらず、影響はありません。

補足

■更新履歴
 2020/01/17 新規公開