Rocky Linux 8GNOMERLSA-2019:3553
high Nessus プラグイン ID 184895
Language:
概要
リモートの Rocky Linux ホストに、1 つ以上のセキュリティ更新がありません。説明
リモートのRocky Linux 8ホストには、RLSA-2019:3553アドバイザリに記載されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。- バージョン2.24.1以前のWebKitGTKおよびWPE WebKitは、ライブストリームビデオ(HLS、DASH、またはスムーズストリーミング)をダウンロードする際に、構成済みのHTTPプロキシ設定を適切に適用できませんでした。これにより、非匿名化を引き起こすエラーが発生します。
この問題は、ライブストリームのダウンロード方法を変更することで修正されました。(CVE-2019-11070)
- 3.32.0 以前の GNOME Evince の TIFF ドキュメントバックエンド内の tiff_document_render() 関数と tiff_document_get_thumbnail() 関数では、TIFFReadRGBAImageOriented() からのエラーが処理されず、特定の TIFF 画像ファイルを処理する際に初期化されていないメモリが使用されていました。(CVE-2019-11459)
- 1.38.3 より前、1.40.2 より前の 1.40.x、1.41.3 より前の 1.41.x の GNOME gvfs の gvfsd の daemon/gvfsdaemon.c は、認可ルールを設定せずにプライベート D-Bus サーバーソケットを開いていました。ローカル攻撃者がこのサーバーソケットに接続して、D-Bus メソッドの呼び出しを行う可能性があります。(サーバーソケットは単一の接続しか受け入れないため、攻撃者はサーバーを発見し、所有者よりも前にソケットに接続する必要があります。) (CVE-2019-12795)
- バージョン 3.15.91以降のgnome-shellロック画面で、すべてのコンテキストアクションが適切に制限されないことが判明しました。ロックされたワークステーションに物理的にアクセスできる攻撃者が、特定のキーボードショートカットやその他のアクションを呼び出す可能性があります。(CVE-2019-3820)
- 複数のメモリ破損の問題が、メモリ処理を改善することで対処されました。この問題は、iOS 12.3、macOS Mojave 10.14.5、tvOS 12.3、Safari 12.1.1、Windows 12.9.5用のiTunes、Windows 7.12用のiCloudで修正されています。
悪意のある細工されたWebコンテンツを処理すると、任意のコードが実行される可能性があります。CVE-2019-6237、 CVE-2019-8571、 CVE-2019-8584、[ CVE-2019-8586、 CVE-2019-8587、 CVE-2019-8594、 CVE-2019-8595、 CVE-2019-8596、 CVE-2019-8597、 CVE-2019-8608、 CVE-2019-8609CVE-2019-8610、 CVE-2019-8611[]、 、 CVE-2019-8615、 CVE-2019-8619
- バージョン2.24.1以前のWebKitGTKおよびWPE WebKitは、特定のJavaScriptリダイレクトにおけるアドレスバースプーフィングに対して脆弱です。攻撃者が、悪意のあるWebコンテンツを信頼されているURIのように表示させる可能性があります。これは、Microsoft EdgeのCVE-2018-8383問題に類似しています。 (CVE-2019-6251 )
- 型の取り違えの問題が、メモリ処理を改善することで対処されました。この問題は、iOS 12.2、tvOS 12.2、watchOS 5.2、Safari 12.1、Windows用のiTunes 12.9.4、Windows 7.11用のiCloudで修正されています。悪意を持って細工された Web コンテンツを処理すると、任意のコードが実行される可能性があります。(CVE-2019-8506)
- 複数のメモリ破損の問題が、メモリ処理を改善することで対処されました。この問題は、iOS 12.2、tvOS 12.2、watchOS 5.2、Safari 12.1、Windows用のiTunes 12.9.4、Windows 7.11用のiCloudで修正されています。悪意を持って細工されたWebコンテンツを処理すると、任意のコードが実行される可能性があります。 (CVE-2019-8518、CVE-2019-8558、CVE-2019-8559、CVE-2019-8563 )
- 複数のメモリ破損の問題が、メモリ処理を改善することで対処されました。この問題は、iOS 12.2、tvOS 12.2、Safari 12.1、Windows用のiTunes 12.9.4、Windows 7.11用のiCloudで修正されています。悪意を持って細工された Web コンテンツを処理すると、任意のコードが実行される可能性があります。(CVE-2019-8523、CVE-2019-8524)
- 状態管理を改善することで、メモリ破損の問題に対処しました。この問題は、iOS 12.2、tvOS 12.2、Safari 12.1、Windows用のiTunes 12.9.4、Windows 7.11用のiCloudで修正されています。悪意を持って細工された Web コンテンツを処理すると、任意のコードが実行される可能性があります。(CVE-2019-8535)
- メモリ破損の問題が、メモリ処理を改善することで対処されました。この問題は、iOS 12.2、tvOS 12.2、watchOS 5.2、Safari 12.1、Windows用のiTunes 12.9.4、Windows 7.11用のiCloudで修正されています。悪意を持って細工されたWebコンテンツを処理すると、任意のコードが実行される可能性があります。 (CVE-2019-8536、CVE-2019-8544 )
- 検証が改善され、ロジックの問題が対処されました。この問題は、iOS 12.2、tvOS 12.2、Safari 12.1、Windows用のiTunes 12.9.4、Windows 7.11用のiCloudで修正されています。悪意を持って細工された Web コンテンツを処理することで、ユニバーサルクロスサイトスクリプティングが引き起こされる可能性があります。(CVE-2019-8551)
- 複数のメモリ破損の問題が、メモリ処理を改善することで対処されました。この問題は、iOS 12.3、macOS Mojave 10.14.5、tvOS 12.3、watchOS 5.2.1、Safari 12.1.1、Windows 12.9.5用のiTunes、Windows 7.12用のiCloudで修正されています。悪意を持って細工されたWebコンテンツを処理すると、任意のコードが実行される可能性があります。
(CVE-2019-8583、CVE-2019-8601、CVE-2019-8622、CVE-2019-8623)
- 複数のメモリ破損の問題が、メモリ処理を改善することで対処されました。この問題は、iOS 12.4、macOS Mojave 10.14.6、tvOS 12.4、Safari 12.1.2、Windows 12.9.6用のiTunes、Windows 7.13用のiCloud、Windows 10.6用のiCloudで修正されています。悪意を持って細工されたウェブコンテンツを処理すると、任意のコードが実行される可能性があります。
(CVE-2019-8666, CVE-2019-8671, CVE-2019-8673, CVE-2019-8677, CVE-2019-8679, CVE-2019-8681, CVE-2019-8686, CVE-2019-8687)
- 複数のメモリ破損の問題が、メモリ処理を改善することで対処されました。この問題は、iOS 12.4、macOS Mojave 10.14.6、tvOS 12.4、watchOS 5.3、Safari 12.1.2、Windows 12.9.6用のiTunes、Windows 7.13用のiCloud、Windows 10.6用のiCloudで修正されています。悪意を持って細工された Web コンテンツを処理すると、任意のコードが実行される可能性があります。(CVE-2019-8672、CVE-2019-8676、CVE-2019-8689)
- ドキュメントロードの処理に、ロジックの問題が存在します。- 状態管理を改善することで、この問題に対処しました。この問題は、iOS 12.4、macOS Mojave 10.14.6、tvOS 12.4、Safari 12.1.2、Windows 12.9.6用のiTunes、Windows 7.13用のiCloud、Windows 10.6用のiCloudで修正されています。悪意を持って細工された Web コンテンツを処理することで、ユニバーサルクロスサイトスクリプティングが引き起こされる可能性があります。(CVE-2019-8690)
- 複数のメモリ破損の問題が、メモリ処理を改善することで対処されました。この問題は、tvOS 13、Windows 12.10.1用のiTunes、tvOS 10.7、Windows 7.14用のiCloudで修正されています。悪意を持って細工されたウェブコンテンツを処理すると、任意のコードが実行される可能性があります。(CVE-2019-8726、CVE-2019-8735)
- 履歴と Web サイトデータの消去で履歴が消去されませんでした。この問題は、データ削除を改善することで対処されました。この問題は、macOS Catalina 10.15で修正されています。ユーザーが閲覧履歴アイテムを削除できない可能性があります。(CVE-2019-8768)
- webkitgtk: メモリ開示につながる領域外読み取り (CVE-2019-8607)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://errata.rockylinux.org/RLSA-2019:3553
https://bugzilla.redhat.com/show_bug.cgi?id=1662193
https://bugzilla.redhat.com/show_bug.cgi?id=1667136
https://bugzilla.redhat.com/show_bug.cgi?id=1673011
https://bugzilla.redhat.com/show_bug.cgi?id=1674382
https://bugzilla.redhat.com/show_bug.cgi?id=1679127
https://bugzilla.redhat.com/show_bug.cgi?id=1680164
https://bugzilla.redhat.com/show_bug.cgi?id=1685811
https://bugzilla.redhat.com/show_bug.cgi?id=1687949
https://bugzilla.redhat.com/show_bug.cgi?id=1690506
https://bugzilla.redhat.com/show_bug.cgi?id=1696708
https://bugzilla.redhat.com/show_bug.cgi?id=1698520
https://bugzilla.redhat.com/show_bug.cgi?id=1698884
https://bugzilla.redhat.com/show_bug.cgi?id=1698923
https://bugzilla.redhat.com/show_bug.cgi?id=1698929
https://bugzilla.redhat.com/show_bug.cgi?id=1698930
https://bugzilla.redhat.com/show_bug.cgi?id=1704355
https://bugzilla.redhat.com/show_bug.cgi?id=1704360
https://bugzilla.redhat.com/show_bug.cgi?id=1704378
https://bugzilla.redhat.com/show_bug.cgi?id=1705583
https://bugzilla.redhat.com/show_bug.cgi?id=1706793
https://bugzilla.redhat.com/show_bug.cgi?id=1709937
https://bugzilla.redhat.com/show_bug.cgi?id=1713080
https://bugzilla.redhat.com/show_bug.cgi?id=1713330
https://bugzilla.redhat.com/show_bug.cgi?id=1713453
https://bugzilla.redhat.com/show_bug.cgi?id=1713685
https://bugzilla.redhat.com/show_bug.cgi?id=1715738
https://bugzilla.redhat.com/show_bug.cgi?id=1715761
https://bugzilla.redhat.com/show_bug.cgi?id=1715765
https://bugzilla.redhat.com/show_bug.cgi?id=1716295
https://bugzilla.redhat.com/show_bug.cgi?id=1716771
https://bugzilla.redhat.com/show_bug.cgi?id=1718133
https://bugzilla.redhat.com/show_bug.cgi?id=1719241
https://bugzilla.redhat.com/show_bug.cgi?id=1719279
https://bugzilla.redhat.com/show_bug.cgi?id=1719779
https://bugzilla.redhat.com/show_bug.cgi?id=1720481
https://bugzilla.redhat.com/show_bug.cgi?id=1721195
https://bugzilla.redhat.com/show_bug.cgi?id=1721575
https://bugzilla.redhat.com/show_bug.cgi?id=1722047
https://bugzilla.redhat.com/show_bug.cgi?id=1722844
https://bugzilla.redhat.com/show_bug.cgi?id=1723467
https://bugzilla.redhat.com/show_bug.cgi?id=1723836
https://bugzilla.redhat.com/show_bug.cgi?id=1724551
https://bugzilla.redhat.com/show_bug.cgi?id=1725101
https://bugzilla.redhat.com/show_bug.cgi?id=1725107
https://bugzilla.redhat.com/show_bug.cgi?id=1725120
https://bugzilla.redhat.com/show_bug.cgi?id=1725555
https://bugzilla.redhat.com/show_bug.cgi?id=1725741
https://bugzilla.redhat.com/show_bug.cgi?id=1725766
https://bugzilla.redhat.com/show_bug.cgi?id=1725854
https://bugzilla.redhat.com/show_bug.cgi?id=1726093
https://bugzilla.redhat.com/show_bug.cgi?id=1726505
https://bugzilla.redhat.com/show_bug.cgi?id=1726656
https://bugzilla.redhat.com/show_bug.cgi?id=1728277
https://bugzilla.redhat.com/show_bug.cgi?id=1731372
https://bugzilla.redhat.com/show_bug.cgi?id=1735382
https://bugzilla.redhat.com/show_bug.cgi?id=1737326
https://bugzilla.redhat.com/show_bug.cgi?id=1739116
プラグインの詳細
深刻度: High
ID: 184895
ファイル名: rocky_linux_RLSA-2019-3553.nasl
バージョン: 1.0
タイプ: local
公開日: 2023/11/7
更新日: 2023/11/7
サポートされているセンサー: Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: High
スコア: 7.4
CVSS v2
リスクファクター: High
基本値: 9.3
現状値: 7.7
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2019-8689
CVSS v3
リスクファクター: High
基本値: 8.8
現状値: 8.2
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C
CVSS スコアのソース: CVE-2019-8735
脆弱性情報
CPE: p-cpe:/a:rocky:linux:gdk-pixbuf2-xlib-devel, p-cpe:/a:rocky:linux:gdk-pixbuf2-xlib, p-cpe:/a:rocky:linux:pidgin-devel, p-cpe:/a:rocky:linux:pango-devel, p-cpe:/a:rocky:linux:pango-debugsource, p-cpe:/a:rocky:linux:gnome-desktop3-debuginfo, cpe:/o:rocky:linux:8, p-cpe:/a:rocky:linux:libpurple, p-cpe:/a:rocky:linux:gnome-desktop3-debugsource, p-cpe:/a:rocky:linux:gdk-pixbuf2-devel, p-cpe:/a:rocky:linux:pidgin-debugsource, p-cpe:/a:rocky:linux:gdk-pixbuf2-modules, p-cpe:/a:rocky:linux:libpurple-devel, p-cpe:/a:rocky:linux:gdk-pixbuf2-debuginfo, p-cpe:/a:rocky:linux:gdk-pixbuf2-xlib-debuginfo, p-cpe:/a:rocky:linux:gdk-pixbuf2-devel-debuginfo, p-cpe:/a:rocky:linux:gnome-desktop3, p-cpe:/a:rocky:linux:libpurple-debuginfo, p-cpe:/a:rocky:linux:pango, p-cpe:/a:rocky:linux:pidgin-debuginfo, p-cpe:/a:rocky:linux:gdk-pixbuf2-modules-debuginfo, p-cpe:/a:rocky:linux:gdk-pixbuf2-debugsource, p-cpe:/a:rocky:linux:gnome-desktop3-devel, p-cpe:/a:rocky:linux:pidgin, p-cpe:/a:rocky:linux:gdk-pixbuf2, p-cpe:/a:rocky:linux:pango-debuginfo
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/RockyLinux/release, Host/RockyLinux/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2019/11/5
脆弱性公開日: 2019/1/14
CISA の既知の悪用された脆弱性の期限日: 2022/5/25
参照情報
CVE: CVE-2019-11070, CVE-2019-11459, CVE-2019-12795, CVE-2019-3820, CVE-2019-6237, CVE-2019-6251, CVE-2019-8506, CVE-2019-8518, CVE-2019-8523, CVE-2019-8524, CVE-2019-8535, CVE-2019-8536, CVE-2019-8544, CVE-2019-8551, CVE-2019-8558, CVE-2019-8559, CVE-2019-8563, CVE-2019-8571, CVE-2019-8583, CVE-2019-8584, CVE-2019-8586, CVE-2019-8587, CVE-2019-8594, CVE-2019-8595, CVE-2019-8596, CVE-2019-8597, CVE-2019-8601, CVE-2019-8607, CVE-2019-8608, CVE-2019-8609, CVE-2019-8610, CVE-2019-8611, CVE-2019-8615, CVE-2019-8619, CVE-2019-8622, CVE-2019-8623, CVE-2019-8666, CVE-2019-8671, CVE-2019-8672, CVE-2019-8673, CVE-2019-8676, CVE-2019-8677, CVE-2019-8679, CVE-2019-8681, CVE-2019-8686, CVE-2019-8687, CVE-2019-8689, CVE-2019-8690, CVE-2019-8726, CVE-2019-8735, CVE-2019-8768