検出

Fedora 26:qt5-qtwebengine(2017-c5b2c9a435)

high Nessus プラグイン ID 101716

Language:

概要

リモートのFedoraホストにセキュリティ更新プログラムがありません。

説明

この更新は、QtWebEngineを5.8.0リリースに更新します。QtWebEngine 5.8.0はQt 5.8.0リリースの一部ですが、この更新にはQtWebEngineコンポーネントのみが含まれています。

この更新では、QtWebEngine 5.7.1のセキュリティの問題を修正します:
CVE-2016-5182、CVE-2016-5183、CVE-2016-5189、CVE-2016-5199、CVE-2016-5201、CVE-2016-5203、CVE-2016-5204、CVE-2016-5205、CVE-2016-5206、CVE-2016-5208、CVE-2016-5207、CVE-2016-5210、CVE-2016-5211、CVE-2016-5212、CVE-2016-5213、CVE-2016-5214、CVE-2016-5215。CVE-2016-5216、CVE-2016-5217、CVE-2016-5218、CVE-2016-5219、CVE-2016-5221、CVE-2016-5222、CVE-2016-5223、CVE-2016-5224、CVE-2016-5225、CVE-2016-9650およびCVE-2016-9651。

QtWebEngine 5.8ですぐに使用できるその他の変更は次のとおりです。

 - Chromiumからバージョン55.0.2883.75までのセキュリティ修正を含むChromium 53.0.2785.148に基づいています。(5.7.1はChromiumからバージョン54.0.2840.87までのセキュリティ修正を含むChromium 49.0.2623.111に基づいていました。)

 -「view-source:」スキームがサポートされるようになりました。

 - ユーザースクリプトは、Greasemonkeyの場合と同様に、メタデータ(「@include」、「@ exclude」、「@ match」)をサポートするようになりました。

 - 一部の「chrome:」スキームがサポートされました。たとえば、「chrome://gpu」のようになります。

 - いくつかのバグが修正されました。詳細については、https://code.qt.io/cgit/qt/qtwebengine.git/tree/dist/changes-5.8.0を参照してください。

QtWebEngine 5.8での次の変更には、コンパイル時のアプリケーションサポートが必要で、アプリケーションの再構築(およびQtがまだバージョン5.7.1であるため、Qt 5.8のチェックを削除するパッチを適用)後にのみ利用可能になります:

 - Hunspellのフォークされたバージョンによるスペルチェック。このFedoraパッケージは、(システムRPMによってシステム全体のロケーションにインストールされる)システムHunspellディクショナリを、QtWebEngineが使用するChromium「bdic」フォーマットに自動的に変換します(RPMファイルトリガーを使用)。手動でインストールした辞書を使用する場合は、付属の「qwebengine_convert_dict」ツールを使用してください。または、Chromium「bdic」フォーマットの辞書を直接ダウンロードすることもできます。

 - プリンターへの直接印刷のサポート。(注意:QupZillaは、プリンターへの印刷をすでにサポートしています。これは、「lpr」コマンドラインツールを利用してプリンターに印刷するために、QtWebEngine 5.7以降に存在していたprintToPdf APIを使用できるためです。ただし、KMailなどの他のアプリケーションには、新しいダイレクトプリンティングAPIが必要です。)

 - CSSバックグラウンドの印刷を有効化する設定を追加しました。

以下の新しいQML APIが、開発者が利用可能です:

 - ツールチップ(HTML5のグローバルタイトル属性)もQML APIでサポートされるようになりました。

 - Qt WebEngine(QML)により、カスタムダイアログ/コンテキストメニューを定義できます。

 -「eglfs」のQt WebEngine(QML)は、Qt Quick Controls 2に基づくビルトインダイアログを使用します。

注意:Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

ソリューション

影響を受けるqt5-qtwebengineパッケージを更新してください。

参考資料

https://bodhi.fedoraproject.org/updates/FEDORA-2017-c5b2c9a435

https://code.qt.io/cgit/qt/qtwebengine.git/tree/dist/changes-5.8.0

プラグインの詳細

深刻度: High

ID: 101716

ファイル名: fedora_2017-c5b2c9a435.nasl

バージョン: 3.7

タイプ: local

エージェント: unix

公開日: 2017/7/17

更新日: 2021/1/6

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 8.9

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5.9

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 8.4

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:H/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:fedoraproject:fedora:qt5-qtwebengine, cpe:/o:fedoraproject:fedora:26

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2017/4/16

脆弱性公開日: 2016/12/18

参照情報

CVE: CVE-2016-5182, CVE-2016-5183, CVE-2016-5189, CVE-2016-5199, CVE-2016-5201, CVE-2016-5203, CVE-2016-5204, CVE-2016-5205, CVE-2016-5206, CVE-2016-5207, CVE-2016-5208, CVE-2016-5210, CVE-2016-5211, CVE-2016-5212, CVE-2016-5213, CVE-2016-5214, CVE-2016-5215, CVE-2016-5216, CVE-2016-5217, CVE-2016-5218, CVE-2016-5219, CVE-2016-5221, CVE-2016-5222, CVE-2016-5223, CVE-2016-5224, CVE-2016-5225, CVE-2016-9650, CVE-2016-9651