Red Hat セキュリティアドバイザリ 2017:1793 から:

graphite2 用の更新が、Red Hat Enterprise Linux 7 で現在利用可能です。

Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高と評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System (CVSS) ベーススコアは、「参照」セクションの CVE リンクから脆弱性ごとに入手できます。

Graphite2はSILのNon-Roman Script InitiativeおよびLanguage Software Developmentグループ内のプロジェクトで、複雑な非ローマ字の文字のレンダリング機能を提供します。Graphiteを使用すると、さまざまな複雑な性質を持つ文字を表示できる「スマートフォント」を作成できます。Text Encoding Modelに関しては、Graphiteは文字実装の「レンダリング」面を処理します。

次のパッケージが新しいアップストリームバージョンにアップグレードされました:
graphite2 （1.3.10）.

セキュリティ修正プログラム:

* Graphite2 に様々な脆弱性が発見されました。攻撃者がこれらの欠陥を悪用して、疑いを持たないユーザーを誘導し、特別に細工されたフォントファイルをGraphite2を使用するアプリケーションで開かせ、秘密のメモリを漏えいしたり、アプリケーションをクラッシュさせたり、任意のコードを実行する可能性があります。
(CVE-2017-7771、CVE-2017-7772、CVE-2017-7773、CVE-2017-7774、CVE-2017-7776、CVE-2017-7777、CVE-2017-7778)

Red Hatは、これらの問題を報告してくれたMozillaプロジェクトに感謝の意を表します。アップストリームはHolger Fuhrmannek氏とTyson Smith氏をこれらの問題の最初の報告者として認めています。

検出

Oracle Linux 7: graphite2 (ELSA-2017-1793)

critical Nessus プラグイン ID 101878

バージョン 3.16

バージョン 3.15

バージョン 3.14

バージョン 3.16 Dec 10, 2025, 9:29 AM CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:POC/RL:OF/RC:C") CVSS temporal metrics ("CVSSv3 temporal vector" set to "CVSS:3.0/E:P/RL:O/RC:C") CVSSv2 score source (set to "CVE-2017-7778") Exploit attributes ("Exploit available" set to "True") Exploit attributes ("Exploitability ease" changed from "No known exploits are available" to "Exploits are available") Plugin Feed: 202512100929
バージョン 3.15 Jan 16, 2024, 5:39 PM CVE (Removed rejected CVE) Plugin Feed: 202401161739
バージョン 3.14 Jan 16, 2024, 3:43 PM CVE (Removed rejected CVE) Plugin Feed: 202401161543