CentOS 5：gnome-vfs2（CESA-2013:0131）

medium Nessus プラグイン ID 63576

Language:

概要

リモート CentOS ホストに１つ以上のセキュリティ更新がありません。

説明

1 つのセキュリティの問題といくつかのバグを修正する更新済みの gnome-vfs2 パッケージが、l Red Hat Enterprise Linux 5 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新によるセキュリティ上の影響は小さいと評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System（CVSS）ベーススコアは「参照」セクションの CVE リンクで入手できます。

gnome-vfs2 パッケージは、Nautilus ファイルマネージャの基盤である GNOME 仮想ファイルシステムを提供します。 neon は、gnome-vfs2 パッケージに埋め込まれている HTTP および WebDAV のクライアントライブラリです。

neon Extensible Markup Language（XML）パーサーでサービス拒否の欠陥が見つかりました。gnome-vfs2（Nautilus など）を使用しているアプリケーションで悪意ある DAV サーバーにアクセスすると、アプリケーションが過剰な量の CPU とメモリを消費する可能性があります。
(CVE-2009-2473)

この更新は以下のバグも修正します：

* Uniform Resource Identifier（URI）から抽出されると、 gnome-vfs2 はエスケープされたファイルパスを返します。URI に保存されるパスに、 ASCII 以外の文字または、ファイルパス以外のものとして解析される ASCII 文字（例えば空白）が含まれていると、エスケープされたパスが不正確なものになっていました。結果として、上述のタイプの URI のあるファイルは、処理されませんでした。この更新で、gnome-vfs2 はシステムコールに必要なパスを適切にアンエスケープします。その結果、これらのパスは適切に解析されるようになっています。（BZ#580855）

* 特定の場合に、外部エントリーが入力されると、ゴミ箱情報ファイルが表示され、ライブデータが指し示されていました。このため、ゴミ箱を空にすると、貴重なデータが間違って削除されていました。この更新では、このような削除を防ぐための回避策が適用されています。この結果、偶発的なデータ消失が防止されるようになりました。しかし、この問題を完全に解決するために、今後もさらに情報を収集する必要があります。（BZ#586015）

* 送信先ファイルシステムのテストチェックが間違っているために、 Nautilus ファイルマネージャが、他のファイルシステムにあるフォルダへのシンボリックリンクを削除できませんでした。この更新では、特別なテストが追加されています。この結果、他のファイルシステムを指し示しているシンボリックリンクリンクをゴミ箱に入れたり、削除したりすることが適切に行えるようになりました。（BZ#621394）

* この更新が出る前は、コピーのための読み取り権限がディレクトリにマークされていない場合、Nautilus ファイルマネージャはこれらの読み取り不可能なディレクトリを通知なしにスキップしていました。この更新で、 Nautilus は、前述の問題について、エラーメッセージを表示し、ユーザーに対して適切に通知するようになりました。（BZ#772307）

* 以前は、gnome-vfs2 は、IBM Rational ClearCase などに使用される MultiVersion File System（MVFS）の各ファイルに対して stat() 関数呼び出しを使用していました。こうした挙動により、ファイル操作が大幅に遅くなっていました。この更新では、不要な stat() 操作が制限されています。この結果、Nautilus などの gnome-vfs2 ユーザーインターフェイスの応答性が向上しています。（BZ#822817）

gnome-vfs2 の全ユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、これらの問題を修正することが推奨されます。