検出

GLSA-201201-16:X.Org X Server/X Keyboard 構成データベース:画面ロックバイパス

medium Nessus プラグイン ID 57722

Language:

概要

リモートの Gentoo ホストでは、セキュリティに関連するパッチが少なくとも 1 つ不足しています。

説明

リモートホストは、GLSA-201201-16 で説明されている脆弱性による影響を受けます(X.Org X Server/X Keyboard 構成データベース:画面ロックバイパス)

=x11-base/xorg-server-1.11 パッケージより、X.Org X Server は、画面ロックユーティリティのようにマウスとキーボードの入力のみをグラブするアプリケーションの終了に使用されるデバッグ機能を提供します。
 Gu1 の報告によると、X Keyboard 構成データベースはこの機能をデフォルトで Ctrl+Alt+Numpad * キーの組み合わせにマップします。
 影響:

物理的に接近した攻撃者はこの脆弱性を悪用し、正しい認証情報を提供せずにロックされた X セッションへのアクセスを取得する可能性があります。
 回避策:

x11-base/xorg-server below x11-base/xorg-server-1.11 の任意のバージョンにダウングレードしてください:
 # emerge --oneshot --verbose '<x11-base/xorg-server-1.11'

ソリューション

全ての xkeyboard-config ユーザーは最新のバージョンにアップグレードする必要があります:
 # emerge --sync # emerge --ask --oneshot --verbose 「>=x11-misc/xkeyboard-config-2.4.1-r3」
注:X.Org X Server 1.11 は、AMD64、ARM、HPPA、x86 アーキテクチャにおいてのみ安定します。他の全てのアーキテクチャの安定版ブランチのユーザーは影響を受けず、修正された X Keyboard 構成データベースバージョンが直接提供されます。

参考資料

https://security.gentoo.org/glsa/201201-16

プラグインの詳細

深刻度: Medium

ID: 57722

ファイル名: gentoo_GLSA-201201-16.nasl

バージョン: 1.10

タイプ: local

公開日: 2012/1/30

更新日: 2021/1/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

基本値: 4.6

現状値: 3.4

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:gentoo:linux:xkeyboard-config, cpe:/o:gentoo:linux

必要な KB アイテム: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list, Host/Gentoo/arch

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2012/1/27

参照情報

CVE: CVE-2012-0064

BID: 51562

GLSA: 201201-16