openslpの脆弱性情報(CVE-2019-5544)が公開されました。
以下をご確認いただき、対策を実施してください。
openslpの脆弱性(CVE-2019-5544)情報
・
CVE-2019-5544
openslp: Heap-based buffer overflow in ProcessSrvRqst() in
slpd_process.c leading to remote code execution
対象環境
|
RHEL8 |
RHEL7 |
RHEL6 |
ESMPRO/ServerAgentService(全バージョン) |
影響なし |
影響あり |
影響なし(※) |
ESMPRO/ServerAgent(全バージョン) |
影響なし |
影響なし |
影響なし |
※脆弱性情報(CVE-2019-5544)と該当するBugzilla 1777788を確認したところ、
バッファオーバーフローするロジックはslpdサービス側にしかなく、
slpdサービスが存在しないRHEL6も、本脆弱性は発生しません。
■ESMPRO/ServerAgentService, ESMPRO/ServerAgentが
インストールされているかどうか確認する方法
1)rootユーザーでログインします。
2)インストールされているパッケージを確認します。
# rpm -qa | grep Esmpro
Esmpro-Providerがインストールされている場合、
ESMPRO/ServerAgentServiceがインストールされています。
Esmpro-commonがインストールされている場合、
ESMPRO/ServerAgentがインストールされています。
対策
本脆弱性を修正したopenslpパッケージがRed Hat社から公開されています。
RHSA-2019:4240
影響があるRed Hat Enterprise Linux 7環境の場合は、
アップデートをお願いします。
openslpパッケージとの関係
・ESMPRO/ServerAgentServiceのESMPROプロバイダは、
cim serverとして、tog-pegasusを使用しています。
tog-pegasusの依存パッケージにtog-pegasus-libsがあり、
tog-pegasus-libsの依存パッケージにopenslpがあります。
Esmpro-Providerパッケージ
-> tog-pegasusパッケージ
-> tog-pegasus-libsパッケージ
-> openslpパッケージ
・ESMPRO/ServerAgentは、本脆弱性に関連するパッケージは
使用しておらず、影響はありません。
補足
■更新履歴
2020/01/17 新規公開