CentOS 8：GNOME（CESA-2019：3553）

high Nessus プラグイン ID 145653

Language:

概要

リモートのCentOSホストに1つ以上のセキュリティ更新プログラムが欠落しています。

説明

リモートのCentOS Linux 8ホストにインストールされているパッケージは、CESA-2019: 3553アドバイザリに記載されている複数の脆弱性の影響を受けます。

- webkitgtk: HTTPプロキシ設定匿名化の情報漏洩（CVE-2019-11070）

- evince: 関数tiff_document_render（）およびtiff_document_get_thumbnail（）での初期化されていないメモリ使用（CVE-2019-11459）

- gvfs: gvfsdのdaemon/gvfsdaemon.cにおける不適切な認証（CVE-2019-12795）

- webkitgtk: 複数のメモリ破損の問題によって、任意のコードが実行される可能性があります（CVE-2019-6237、CVE-2019-8571、CVE-2019-8583、CVE-2019-8584、CVE-2019-8586、CVE-2019-8587、CVE-2019-8594、CVE-2019-8595、CVE-2019-8596、CVE-2019-8597、CVE-2019-8601、CVE-2019-8608、CVE-2019-8609、CVE-2019-8610、CVE-2019-8611、CVE-2019-8615、CVE-2019-8619、CVE-2019-8622、CVE-2019-8623、CVE-2019-8666、CVE-2019-8671、CVE-2019-8672、CVE-2019-8673、CVE-2019-8676、CVE-2019-8677、CVE-2019-8679、CVE-2019-8681、CVE-2019-8686、CVE-2019-8687、CVE-2019-8689、CVE-2019-8726、CVE-2019-8735）

- webkitgtk: URIスプーフィングにつながる悪意を持って作成されたWebコンテンツの処理（CVE-2019-6251）

- webkitgtk: 悪意のあるWebコンテンツにより、任意のコードが実行されます（CVE-2019-8506）

- webkitgtk: 任意コード実行につながる悪意のあるWebコンテンツ（CVE-2019-8518、CVE-2019-8523、CVE-2019-8524、CVE-2019-8559、CVE-2019-8563）

- webkitgtk: 任意コード実行につながる悪意のある細工されたWebコンテンツ（CVE-2019-8535、CVE-2019-8536、CVE-2019-8558）

- webkitgtk: 任意の私たちのコンテンツにつながる悪意のある細工されたWebコンテンツ（CVE-2019-8544）

- webkitgtk: メモリ開示につながる領域外読み取り（CVE-2019-8607）

- webkitgtk: ユニバーサルクロスサイトスクリプティングを引き起こす不適切な状態管理（CVE-2019-8690）

- webkitgtk: 閲覧履歴を削除できませんでした（CVE-2019-8768）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://access.redhat.com/errata/RHSA-2019:3553

プラグインの詳細

深刻度: High

ID: 145653

ファイル名: centos8_RHSA-2019-3553.nasl

バージョン: 1.6

タイプ: local

エージェント: unix

ファミリー: CentOS Local Security Checks

公開日: 2021/1/29

更新日: 2023/4/25

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.4

CVSS v2

リスクファクター: High

基本値: 9.3

現状値: 7.7

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2019-8689

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 8.2

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C

CVSS スコアのソース: CVE-2019-8735

脆弱性情報

CPE: cpe:/o:centos:centos:8, p-cpe:/a:centos:centos:sdl, p-cpe:/a:centos:centos:sdl-devel, p-cpe:/a:centos:centos:accountsservice, p-cpe:/a:centos:centos:accountsservice-devel, p-cpe:/a:centos:centos:accountsservice-libs, p-cpe:/a:centos:centos:appstream-data, p-cpe:/a:centos:centos:baobab, p-cpe:/a:centos:centos:chrome-gnome-shell, p-cpe:/a:centos:centos:evince, p-cpe:/a:centos:centos:evince-browser-plugin, p-cpe:/a:centos:centos:evince-libs, p-cpe:/a:centos:centos:evince-nautilus, p-cpe:/a:centos:centos:file-roller, p-cpe:/a:centos:centos:gdk-pixbuf2, p-cpe:/a:centos:centos:gdk-pixbuf2-devel, p-cpe:/a:centos:centos:gdk-pixbuf2-modules, p-cpe:/a:centos:centos:gdk-pixbuf2-xlib, p-cpe:/a:centos:centos:gdk-pixbuf2-xlib-devel, p-cpe:/a:centos:centos:gdm, p-cpe:/a:centos:centos:gjs, p-cpe:/a:centos:centos:gjs-devel, p-cpe:/a:centos:centos:gnome-classic-session, p-cpe:/a:centos:centos:gnome-control-center, p-cpe:/a:centos:centos:gnome-control-center-filesystem, p-cpe:/a:centos:centos:gnome-desktop3, p-cpe:/a:centos:centos:gnome-desktop3-devel, p-cpe:/a:centos:centos:gnome-remote-desktop, p-cpe:/a:centos:centos:gnome-settings-daemon, p-cpe:/a:centos:centos:gnome-shell, p-cpe:/a:centos:centos:gnome-shell-extension-apps-menu, p-cpe:/a:centos:centos:gnome-shell-extension-auto-move-windows, p-cpe:/a:centos:centos:gnome-shell-extension-common, p-cpe:/a:centos:centos:gnome-shell-extension-dash-to-dock, p-cpe:/a:centos:centos:gnome-shell-extension-desktop-icons, p-cpe:/a:centos:centos:gnome-shell-extension-disable-screenshield, p-cpe:/a:centos:centos:gnome-shell-extension-drive-menu, p-cpe:/a:centos:centos:gnome-shell-extension-horizontal-workspaces, p-cpe:/a:centos:centos:gnome-shell-extension-launch-new-instance, p-cpe:/a:centos:centos:gnome-shell-extension-native-window-placement, p-cpe:/a:centos:centos:gnome-shell-extension-no-hot-corner, p-cpe:/a:centos:centos:gnome-shell-extension-panel-favorites, p-cpe:/a:centos:centos:gnome-shell-extension-places-menu, p-cpe:/a:centos:centos:gnome-shell-extension-screenshot-window-sizer, p-cpe:/a:centos:centos:gnome-shell-extension-systemmonitor, p-cpe:/a:centos:centos:gnome-shell-extension-top-icons, p-cpe:/a:centos:centos:gnome-shell-extension-updates-dialog, p-cpe:/a:centos:centos:gnome-shell-extension-user-theme, p-cpe:/a:centos:centos:gnome-shell-extension-window-grouper, p-cpe:/a:centos:centos:gnome-shell-extension-window-list, p-cpe:/a:centos:centos:gnome-shell-extension-windowsnavigator, p-cpe:/a:centos:centos:gnome-shell-extension-workspace-indicator, p-cpe:/a:centos:centos:gnome-software, p-cpe:/a:centos:centos:gnome-software-editor, p-cpe:/a:centos:centos:gvfs-archive, p-cpe:/a:centos:centos:gvfs-client, p-cpe:/a:centos:centos:gvfs-devel, p-cpe:/a:centos:centos:gvfs-fuse, p-cpe:/a:centos:centos:gvfs-goa, p-cpe:/a:centos:centos:gvfs-gphoto2, p-cpe:/a:centos:centos:gvfs-mtp, p-cpe:/a:centos:centos:gvfs-smb, p-cpe:/a:centos:centos:libpurple, p-cpe:/a:centos:centos:libpurple-devel, p-cpe:/a:centos:centos:mozjs60, p-cpe:/a:centos:centos:mozjs60-devel, p-cpe:/a:centos:centos:mutter, p-cpe:/a:centos:centos:mutter-devel, p-cpe:/a:centos:centos:nautilus, p-cpe:/a:centos:centos:nautilus-devel, p-cpe:/a:centos:centos:nautilus-extensions, p-cpe:/a:centos:centos:pango, p-cpe:/a:centos:centos:pango-devel, p-cpe:/a:centos:centos:pidgin, p-cpe:/a:centos:centos:pidgin-devel, p-cpe:/a:centos:centos:plymouth, p-cpe:/a:centos:centos:plymouth-core-libs, p-cpe:/a:centos:centos:plymouth-graphics-libs, p-cpe:/a:centos:centos:plymouth-plugin-fade-throbber, p-cpe:/a:centos:centos:plymouth-plugin-label, p-cpe:/a:centos:centos:plymouth-plugin-script, p-cpe:/a:centos:centos:plymouth-plugin-space-flares, p-cpe:/a:centos:centos:plymouth-plugin-throbgress, p-cpe:/a:centos:centos:plymouth-plugin-two-step, p-cpe:/a:centos:centos:plymouth-scripts, p-cpe:/a:centos:centos:plymouth-system-theme, p-cpe:/a:centos:centos:plymouth-theme-charge, p-cpe:/a:centos:centos:plymouth-theme-fade-in, p-cpe:/a:centos:centos:plymouth-theme-script, p-cpe:/a:centos:centos:plymouth-theme-solar, p-cpe:/a:centos:centos:plymouth-theme-spinfinity, p-cpe:/a:centos:centos:plymouth-theme-spinner, p-cpe:/a:centos:centos:wayland-protocols-devel, p-cpe:/a:centos:centos:webkit2gtk3, p-cpe:/a:centos:centos:webkit2gtk3-devel, p-cpe:/a:centos:centos:webkit2gtk3-jsc, p-cpe:/a:centos:centos:webkit2gtk3-jsc-devel, p-cpe:/a:centos:centos:webkit2gtk3-plugin-process-gtk2, p-cpe:/a:centos:centos:gnome-tweaks, p-cpe:/a:centos:centos:gsettings-desktop-schemas, p-cpe:/a:centos:centos:gsettings-desktop-schemas-devel, p-cpe:/a:centos:centos:gtk-update-icon-cache, p-cpe:/a:centos:centos:gtk3, p-cpe:/a:centos:centos:gtk3-devel, p-cpe:/a:centos:centos:gtk3-immodule-xim, p-cpe:/a:centos:centos:gvfs, p-cpe:/a:centos:centos:gvfs-afc, p-cpe:/a:centos:centos:gvfs-afp

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/CentOS/release, Host/CentOS/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2019/11/5

脆弱性公開日: 2019/1/14

CISA の既知の悪用された脆弱性の期限日: 2022/5/25

参照情報

CVE: CVE-2019-11070, CVE-2019-11459, CVE-2019-12795, CVE-2019-6237, CVE-2019-6251, CVE-2019-8506, CVE-2019-8518, CVE-2019-8523, CVE-2019-8524, CVE-2019-8535, CVE-2019-8536, CVE-2019-8544, CVE-2019-8558, CVE-2019-8559, CVE-2019-8563, CVE-2019-8571, CVE-2019-8583, CVE-2019-8584, CVE-2019-8586, CVE-2019-8587, CVE-2019-8594, CVE-2019-8595, CVE-2019-8596, CVE-2019-8597, CVE-2019-8601, CVE-2019-8607, CVE-2019-8608, CVE-2019-8609, CVE-2019-8610, CVE-2019-8611, CVE-2019-8615, CVE-2019-8619, CVE-2019-8622, CVE-2019-8623, CVE-2019-8666, CVE-2019-8671, CVE-2019-8672, CVE-2019-8673, CVE-2019-8676, CVE-2019-8677, CVE-2019-8679, CVE-2019-8681, CVE-2019-8686, CVE-2019-8687, CVE-2019-8689, CVE-2019-8690, CVE-2019-8726, CVE-2019-8735, CVE-2019-8768

BID: 108497, 108566, 108741, 109328, 109329

RHSA: 2019:3553