CVE-2023-43690 -Malwarebytes、Nebula - 整数符号化
概要
Malwarebytes 4.x および 5.x (および Nebula 2020-10-21 以降) でサービス拒否が発見されました。 割り当てられたバッファサイズとメモリ範囲を比較する際に、整数の符号付き比較の問題があり、比較がほぼ常に真を返すため、サービス拒否が発生します。
影響を受けるバージョン
- Malwarebytes 4 versions < 4.6.14.326
- Malwarebytes 5 versions < 5.1.5.116
- Nebula platform before June 2024, Endpoint Agent version < 2.0.0.64, Protection Service version < 4.6.17.334
パッチ適用済みバージョン
- Malwarebytes 4 バージョン >= 4.6.14.326 , コンポーネントバージョン 1.0.2348 , アップデートパッケージバージョン >= 1.0.85245
- Malwarebytes 5 バージョン >= 5.1.5.116、コンポーネントバージョン 1.0.1252、アップデートパッケージバージョン >= 1.0.85245
- Nebulaプラットフォーム 2024年6月、エンドポイントエージェントバージョン >= 2.0.0.64、プロテクションサービスバージョン >= 4.6.17.334
軽減アドバイス
影響を受けるエンドポイントを、パッチを適用したバージョンにアップグレードすることをお勧めします。
詳細
| CWE | CVS 3.x | ベクトル |
| CWE-704:誤ったタイプ変換またはキャスト | ミディアム | ローカル |