検出

Scientific Linux セキュリティ更新:SL6.x i386/x86_64 の eclipse

medium Nessus プラグイン ID 61040

Language:

概要

リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

Eclipse ソフトウェア開発環境は、C/C++ および Java 開発用の一連のツールを提供します。

クロスサイトスクリプティング(XSS)の欠陥が Eclipse のヘルプコンテンツ Web アプリケーションで見つかりました。攻撃者がこの欠陥を利用して、被害者を騙して特別に細工された Eclipse ヘルプの URL にアクセスさせることにより、被害者に対してクロスサイトスクリプティング攻撃を実行することが可能です。(CVE-2010-4647)

以下の Eclipse パッケージが正式な Upstream Eclipse Helios SR1 リリースにあるバージョンにアップグレードされ、以前のバージョンにあった多数のバグ修正を行い、拡張機能を提供します。

- eclipse を 3.6.1 に。

- eclipse-cdt を 7.0.1 に。

- eclipse-birt を 2.6.0 に。

- eclipse-emf を 2.6.0 に。

- eclipse-gef を 3.6.1 に。

- eclipse-mylyn を 3.4.2 に。

- eclipse-rse を 3.2 に。

- eclipse-dtp を 1.8.1 に。

- eclipse-changelog を 2.7.0 に。

- eclipse-valgrind を 0.6.1 に。

- eclipse-callgraph を 0.6.1 に。

- eclipse-oprofile を 0.6.1 に。

- eclipse-linuxprofilingframework を 0.6.1 に。

さらに、上記の Eclipse パッケージの依存関係に対して以下の更新が行われました:

- icu4j to 4.2.1。

- sat4j to 2.2.0。

- objectweb-asm を 3.2 に。

- jetty-eclipse を 6.1.24 に。

この更新には、以下を含む多数の Upstream バグ修正と拡張機能が含まれています:

- Eclipse IDE および Java 開発ツール(JDT):

- ワークスペースにおけるリソースのフィルターを実行できるプロジェクトおよびフォルダ。

- 新しい仮想フォルダとリンクされたファイルのサポート。

- UNIX ファイル権限のフルセットはサポートされています。

- 実行時間が長いウィザードタスクを取り消すための停止ボタンの追加。

- Java エディターは、問題表示用ホバーを介して複数のクイック修正を表示します。

- 実行する JUnit バージョン 4 テストに対する新しいサポート。

- 200 以上の Upstream バグ修正。

- Eclipse C/C++ 開発ツール(CDT):

- 静的コード分析に、新しい Codan フレームワークが追加されました。

- 保存されたリファクタリング履歴などのリファクタリングの改善。

- これでコンパイルおよびビルドエラーは、ビルドコンソールでハイライトされます。

- 新しい DSF デバッガフレームワークに切り替えます。

- 新しいテンプレート表示のサポート。

- 600 以上の Upstream バグ修正。

この更新は以下のバグも修正します:

- 「ヘルプコンテンツ」ウィンドウの中の GNU ツールに対する不適切な URI が修正されました。

- Eclipse プロジェクトが Eclipse ワークスペースにない場合、バイナリのプロファイリングが機能しませんでした。この更新により、外部プロジェクトのプロファイリングに対する自動テストが追加され、この問題が修正されます。

- Eclipse での C/C++ アプリケーションの実行は正常に終了されましたが、「エラーログ」ウィンドウでアプリケーション自体とは無関係な I/O 例外が返されました。この更新により、例外が返されることがなくなりました。

- eclipse-mylyn パッケージに「20100916-0100-e3x」修飾子が表示されました。修飾子が「v20100902-0100-e3x」に変更され、eclipse-mylyn の Upstream バージョンと一致しています。

- パッケージングのバグにより、eclipse-mylyn パッケージのインストールが失敗し、「Resource temporarily unavailable(リソースが一時的に使用できません)」のエラーメッセージが返されました。この更新によりこのバグが修正され、インストールは期待通りに機能するようになっています。

- ローカルファイルシステムとのインタラクションが不適切なために、eclipse-cdt パッケージのビルドが失敗する可能性があります。
 ローカルファイルシステムとの相互作用は阻止され、ビルドが失敗することはありません。

- eclipse-cdt パッケージにより提供される libhover プラグインが、バイナリデータを使用して、ホバートピックを検索していました。
 データロケーションが URL として外部に指定されたため、インターネットアクセスがないシステム上で例外が発生する可能性があります。この更新により、プラグインが変更されたため、ローカルのロケーションから必要なデータを取り出します。

eclipse のユーザーは、これらの更新済みパッケージにアップグレードし、これらの問題を修正し、これらの拡張機能を追加する必要があります。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?cdbb320e

プラグインの詳細

深刻度: Medium

ID: 61040

ファイル名: sl_20110519_eclipse_on_SL6_x.nasl

バージョン: 1.7

タイプ: local

エージェント: unix

公開日: 2012/8/1

更新日: 2021/1/14

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.8

CVSS v2

リスクファクター: Medium

基本値: 4.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

脆弱性情報

CPE: x-cpe:/o:fermilab:scientific_linux

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

パッチ公開日: 2011/5/19

脆弱性公開日: 2011/1/13

参照情報

CVE: CVE-2010-4647