検出

RHEL 6: eclipse (RHSA-2011:0568)

medium Nessus プラグイン ID 54595

Language:

概要

リモートの Red Hat ホストにセキュリティ更新プログラムが適用されていません。

説明

リモート Redhat Enterprise Linux 6 ホストに、RHSA-2011:0568 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

 Eclipse ソフトウェア開発環境は、C/C++ および Java 開発用の一連のツールを提供します。

 クロスサイトスクリプティング(XSS)の欠陥が Eclipse のヘルプコンテンツ Web アプリケーションで見つかりました。攻撃者がこの欠陥を利用して、被害者を騙して特別に細工された Eclipse ヘルプの URL にアクセスさせることにより、被害者に対してクロスサイトスクリプティング攻撃を実行することが可能です。(CVE-2010-4647)

 以下の Eclipse パッケージが公式の Upstream Eclipse Helios SR1 リリースにあるバージョンにアップグレードされ、以前のバージョンにあった多数のバグ修正を行い、拡張機能を提供します。

 * eclipse を 3.6.1 に。(BZ#656329)
 * eclipse-cdt を 7.0.1 に。(BZ#656333)
 - eclipse-birt を 2.6.0 に。(BZ#656391)
 * eclipse-emf を 2.6.0 に。(BZ#656344)
 * eclipse-gef を 3.6.1 に。(BZ#656347)
 * eclipse-mylyn を 3.4.2 に。(BZ#656337)
 * eclipse-rse を 3.2 に。(BZ#656338)
 * eclipse-dtp を 1.8.1 に。(BZ#656397)
 * eclipse-changelog を 2.7.0 に。(BZ#669499)
 * eclipse-valgrind を 0.6.1 に。(BZ#669460)
 * eclipse-callgraph を 0.6.1 に。(BZ#669462)
 * eclipse-oprofile を 0.6.1 に。(BZ#670228)
 * eclipse-linuxprofilingframework を 0.6.1 に。(BZ#669461)

 さらに、上記の Eclipse パッケージの依存関係に対して以下の更新が行われました。

 * icu4j を 4.2.1 に。(BZ#656342)
 * sat4j を 2.2.0 に。(BZ#661842)
 * objectweb-asm を 3.2 に。(BZ#664019)
 * jetty-eclipse を 6.1.24 に。(BZ#661845)

 この更新には、以下を含む多数の Upstream バグ修正と拡張機能が含まれています。

 * The Eclipse IDE および Java Development Tools (JDT):

 - ワークスペースにおけるリソースのフィルターを実行できるプロジェクトおよびフォルダ。
 - 新しい仮想フォルダとリンクされたファイルのサポート。
 - UNIX ファイルアクセス許可のフルセットはサポートされています。
 - 実行時間が長いウィザードタスクを取り消すための停止ボタンの追加。
 - Java エディターは、問題表示用ホバーを介して複数のクイック修正を表示します。
 - 実行する JUnit バージョン 4 テストに対する新しいサポート。
 - 200 以上の Upstream バグ修正。

 * The Eclipse C/C++ Development Tooling (CDT):

 - 静的コード分析に、新しい Codan フレームワークが追加されました。
 - 保存されたリファクタリング履歴などのリファクタリングの改善。
 - これでコンパイルおよびビルドエラーは、ビルドコンソールでハイライトされます。
 - 新しい DSF デバッガフレームワークに切り替えます。
 - 新しいテンプレート表示のサポート。
 - 600 以上の Upstream バグ修正。

 この更新では、次のバグも修正しています。

 * Help Contents (ヘルプコンテンツ) ウインドウ内の GNU Tools に対する誤った URI が修正されました。(BZ#622713)

 * Eclipse プロジェクトが Eclipse ワークスペースにない場合、バイナリのプロファイリングが機能しませんでした。この更新により、外部プロジェクトのプロファイリングに対する自動テストが追加され、この問題が修正されます。(BZ#622867)

 * Eclipse での C/C++ アプリケーションの実行は正常に終了しましたが、Error Log ウインドウでアプリケーション自体とは無関係な I/O 例外が戻されました。この更新により、例外が返されることがなくなりました。
 (BZ#668890)

 * eclipse-mylyn パッケージに 20100916-0100-e3x 修飾子が表示されました。修飾子が v20100902-0100-e3x に変更され、eclipse-mylyn の Upstream バージョンと一致しています。(BZ#669819)

 * パッケージングのバグのために、eclipse-mylyn パッケージのインストールが失敗し、Resource temporarily unavailable (リソースが一時的に使用できません) というエラーメッセージが表示されました。この更新によりこのバグが修正され、インストールは期待通りに機能するようになっています。(BZ#673174)

 * ローカルファイルシステムとの不適切な相互作用のために、eclipse-cdt パッケージの構築が失敗する可能性があります。ローカルファイルシステムとの相互作用は阻止され、ビルドが失敗することはありません。(BZ#678364)

 * eclipse-cdt パッケージにより提供される libhover プラグインが、バイナリデータを使用して、ホバートピックを検索していました。データロケーションが URL として外部に指定されたため、インターネットアクセスがないシステム上で例外が発生する可能性があります。この更新により、プラグインが変更されたため、ローカルのロケーションから必要なデータを取り出します。(BZ#679543)

 eclipse のユーザーは、これらの更新済みパッケージにアップグレードし、これらの問題を修正し、これらの拡張機能を追加する必要があります。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?442c9c85

https://access.redhat.com/security/updates/classification/#low

https://bugzilla.redhat.com/show_bug.cgi?id=622713

https://bugzilla.redhat.com/show_bug.cgi?id=622867

https://bugzilla.redhat.com/show_bug.cgi?id=656329

https://bugzilla.redhat.com/show_bug.cgi?id=656333

https://bugzilla.redhat.com/show_bug.cgi?id=656337

https://bugzilla.redhat.com/show_bug.cgi?id=656338

https://bugzilla.redhat.com/show_bug.cgi?id=656342

https://bugzilla.redhat.com/show_bug.cgi?id=656344

https://bugzilla.redhat.com/show_bug.cgi?id=656347

https://bugzilla.redhat.com/show_bug.cgi?id=656391

https://bugzilla.redhat.com/show_bug.cgi?id=656397

https://bugzilla.redhat.com/show_bug.cgi?id=661842

https://bugzilla.redhat.com/show_bug.cgi?id=661845

https://bugzilla.redhat.com/show_bug.cgi?id=661901

https://bugzilla.redhat.com/show_bug.cgi?id=664019

https://bugzilla.redhat.com/show_bug.cgi?id=668890

https://bugzilla.redhat.com/show_bug.cgi?id=669460

https://bugzilla.redhat.com/show_bug.cgi?id=669461

https://bugzilla.redhat.com/show_bug.cgi?id=669462

https://bugzilla.redhat.com/show_bug.cgi?id=669499

https://bugzilla.redhat.com/show_bug.cgi?id=669819

https://bugzilla.redhat.com/show_bug.cgi?id=670228

https://bugzilla.redhat.com/show_bug.cgi?id=673174

https://bugzilla.redhat.com/show_bug.cgi?id=678364

https://access.redhat.com/errata/RHSA-2011:0568

プラグインの詳細

深刻度: Medium

ID: 54595

ファイル名: redhat-RHSA-2011-0568.nasl

バージョン: 1.20

タイプ: local

エージェント: unix

公開日: 2011/5/20

更新日: 2025/3/20

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.8

Vendor

Vendor Severity: Low

CVSS v2

リスクファクター: Medium

基本値: 4.3

現状値: 3.4

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS スコアのソース: CVE-2010-4647

CVSS v3

リスクファクター: Medium

基本値: 6.1

現状値: 5.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:eclipse-cdt, p-cpe:/a:redhat:enterprise_linux:eclipse-emf, p-cpe:/a:redhat:enterprise_linux:icu4j-javadoc, p-cpe:/a:redhat:enterprise_linux:eclipse-gef-examples, p-cpe:/a:redhat:enterprise_linux:eclipse-rse, p-cpe:/a:redhat:enterprise_linux:eclipse-emf-xsd-sdk, p-cpe:/a:redhat:enterprise_linux:eclipse-mylyn-wikitext, p-cpe:/a:redhat:enterprise_linux:icu4j, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:eclipse-mylyn-trac, p-cpe:/a:redhat:enterprise_linux:eclipse-mylyn-pde, p-cpe:/a:redhat:enterprise_linux:sat4j, p-cpe:/a:redhat:enterprise_linux:eclipse-emf-examples, p-cpe:/a:redhat:enterprise_linux:eclipse-emf-xsd, p-cpe:/a:redhat:enterprise_linux:eclipse, p-cpe:/a:redhat:enterprise_linux:eclipse-swt, p-cpe:/a:redhat:enterprise_linux:eclipse-mylyn-webtasks, p-cpe:/a:redhat:enterprise_linux:objectweb-asm, p-cpe:/a:redhat:enterprise_linux:eclipse-changelog, p-cpe:/a:redhat:enterprise_linux:eclipse-jdt, p-cpe:/a:redhat:enterprise_linux:icu4j-eclipse, p-cpe:/a:redhat:enterprise_linux:eclipse-oprofile, p-cpe:/a:redhat:enterprise_linux:jetty-eclipse, p-cpe:/a:redhat:enterprise_linux:eclipse-dtp, p-cpe:/a:redhat:enterprise_linux:eclipse-rcp, p-cpe:/a:redhat:enterprise_linux:eclipse-gef-sdk, p-cpe:/a:redhat:enterprise_linux:eclipse-gef, p-cpe:/a:redhat:enterprise_linux:eclipse-callgraph, p-cpe:/a:redhat:enterprise_linux:eclipse-cdt-parsers, p-cpe:/a:redhat:enterprise_linux:eclipse-mylyn, p-cpe:/a:redhat:enterprise_linux:eclipse-birt, p-cpe:/a:redhat:enterprise_linux:eclipse-emf-sdk, p-cpe:/a:redhat:enterprise_linux:eclipse-mylyn-cdt, p-cpe:/a:redhat:enterprise_linux:eclipse-platform, p-cpe:/a:redhat:enterprise_linux:eclipse-cdt-sdk, p-cpe:/a:redhat:enterprise_linux:eclipse-mylyn-java, p-cpe:/a:redhat:enterprise_linux:eclipse-pde, p-cpe:/a:redhat:enterprise_linux:eclipse-valgrind, p-cpe:/a:redhat:enterprise_linux:objectweb-asm-javadoc, p-cpe:/a:redhat:enterprise_linux:eclipse-linuxprofilingframework

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2011/5/19

脆弱性公開日: 2011/1/13

参照情報

CVE: CVE-2010-4647

BID: 44883

CWE: 79

RHSA: 2011:0568