検出

Scientific Linux セキュリティ更新:SL6.x i386/x86_64 の xorg-x11-server

low Nessus プラグイン ID 61351

Language:

概要

リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

X.Org は、X Window System のオープンソース実装です。これは本格的なグラフィカルユーザーインターフェイスのデザインの基盤となった基本的な低レベルの機能を提供します。

X.Org サーバーがロックファイルを処理する方法で、欠陥が見つかりました。システムコンソールにアクセスできるローカルのユーザーが、この欠陥を利用して、シンボリックリンク攻撃で、そのユーザーがアクセスできないディレクトリにあるファイルの有無を判断することが可能です。(CVE-2011-4028)

競合状態が、X.Org サーバーが一時ロックファイルを管理する方法で見つかりました。ローカルの攻撃者は、この欠陥を悪用して、シンボリックリンク攻撃を仕掛け、任意のファイルを世界中で読み込み可能にして、機密情報の漏洩を引き起こす可能性があります。
(CVE-2011-4029)

この更新は以下のバグも修正します:

- この更新より前に、KDE Display Manager(KDM)は、無効な 24bpp pixmap フォーマットを X サーバーに渡す可能性があります。
 その結果、X サーバーは予想外に中止する可能性がありました。
 この更新では、正しいフォーマットをパスするように規定コードを修正します。

- この更新より前に、グラフィックタブレットのスタイラスなどの制約のない入力デバイスは、xorg.conf ファイルでの複数の「Device」セクションにより、X サーバーがマルチスクリーンのセットアップとして構成されている場合、右端または下端の画面で反応しなくなる可能性がありました。この更新では、絶対デバイスがすべての画面で常にマッピングされるように、画面横断挙動を変更します。

- この更新より前に、誤解を与えるメッセージ「セッションはアクティブであり、禁止されておらず、画面はアイドル状態です。このテストを確認すると、お使いのディスプレイサーバーは破損していますので、ディストリビューターに通知してくださいというメッセージが、システム再開後または表示の再有効化した後に表示されることがあり、外部 Web ページへの URL が含まれる可能性がありました。この更新で、このメッセージは削除されます。

- この更新より前に、Xephyr サーバーの誤りのある入力処理コードは、画面を横切るイベントで画面を無効にしていました。フォーカスは、マウスが置かれた画面上に限定され、この画面は、Xephyr ネスト化した X サーバーが複数画面セットアップに設定された場合にのみ更新されました。この更新では、このコードを削除し、Xephyr は複数画面セットアップで、画面を正常に更新できるようになりました。

- この更新より前に、raw イベントには相対軸の値が含まれていませんでした。その結果、機能の相対値に依存しているクライアントは、期待通りの挙動をしませんでした。この更新では、すでに変換した値の代わりに、元のドライバーの値を設定します。
 現在、生のイベントには、期待通りの相対軸値が含まれます。

xorg-x11-server の全ユーザーは、これらの更新済みパッケージへアップグレードし、これらの問題を修正することが推奨されます。この更新を有効にするには、全ての実行中の X.Org サーバーは再起動する必要があります。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?d8997fc7

プラグインの詳細

深刻度: Low

ID: 61351

ファイル名: sl_20120620_xorg_x11_server_on_SL6_x.nasl

バージョン: 1.6

タイプ: local

エージェント: unix

公開日: 2012/8/1

更新日: 2021/1/14

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Low

基本値: 1.9

ベクトル: CVSS2#AV:L/AC:M/Au:N/C:P/I:N/A:N

脆弱性情報

CPE: p-cpe:/a:fermilab:scientific_linux:xorg-x11-server-xdmx, p-cpe:/a:fermilab:scientific_linux:xorg-x11-server-xephyr, p-cpe:/a:fermilab:scientific_linux:xorg-x11-server-xnest, p-cpe:/a:fermilab:scientific_linux:xorg-x11-server-xorg, p-cpe:/a:fermilab:scientific_linux:xorg-x11-server-xvfb, p-cpe:/a:fermilab:scientific_linux:xorg-x11-server-common, p-cpe:/a:fermilab:scientific_linux:xorg-x11-server-debuginfo, p-cpe:/a:fermilab:scientific_linux:xorg-x11-server-devel, p-cpe:/a:fermilab:scientific_linux:xorg-x11-server-source, x-cpe:/o:fermilab:scientific_linux

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

パッチ公開日: 2012/6/20

脆弱性公開日: 2012/7/3

参照情報

CVE: CVE-2011-4028, CVE-2011-4029