検出

CentOS 5:gtk2(CESA-2013:0135)

medium Nessus プラグイン ID 63580

Language:

概要

リモート CentOS ホストに1つ以上のセキュリティ更新がありません。

説明

1 つのセキュリティの問題といくつかのバグを修正する更新済みの gtk2 パッケージが、 Red Hat Enterprise Linux 5 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新によるセキュリティ上の影響は小さいと評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。

GIMP ツールキット(GTK+)は、グラフィカルユーザーインターフェイスを作成するためのマルチプラットフォームツールキットです。

GTK+ の X BitMap (XBM)画像ファイルローダーで、整数オーバーフローの欠陥が見つかりました。リモートの攻撃者が、特別に細工された XBM 画像ファイルを用意し、これが GTK+(Nautilus など)にリンクされたアプリケーションで開かれた場合、アプリケーションをクラッシュさせる可能性があります。
(CVE-2012-2370)

この更新は以下のバグも修正します:

* Input Method GTK+ モジュールにバグがあるため、台湾の Big5(zh_TW.Big-5)ロケールを使用すると、 GDM greeter などの特定のアプリケーションが予期せず終了することがありました。バグが修正され、台湾のロケールがアプリケーションの予期せぬ終了を引き起こすことはなくなりました。(BZ#487630)

* GTK+ ファイルチューザーダイアログが開かれた後に最初にファイルが選択され、ロケーションフィールドが表示されているときに、Enter キーを押してもファイルが開きませんでした。この更新により、ロケーションフィールドの表示のあるなしに関わらず、最初に選択したファイルが開くようになりました。(BZ#518483)

* GTK+ ファイルチューザーダイアログが開かれた後に最初にファイルが選択され、ロケーションフィールドが表示されているときに、Enter キーを押してもディレクトリが変わりませんでした。この更新により、ロケーションフィールドの表示のあるなしに関わらず、ダイアログが最初に選択したディレクトリに変わるようになりました。(BZ#523657)

* 以前は、GTK 印刷ダイアログに、デフォルトプリンターのプリファレンスパネルでの設定など、~/.cups/lpoptions ファイルに保存されているユーザー定義のプリンタープリファレンスが反映されませんでした。その結果、プリンターリストの最初のデバイスが常に、デフォルトプリンターとして設定されていました。
この更新により、下層にあるソースコードが強化されて、オプションファイルを解析できるようになりました。結果として、印刷ダイアログのデフォルト値は以前にユーザーにより指定された値に設定されるようになりました。(BZ#603809)

* GTK+ ファイルチューザーは、名前のないファイルの保存を適切に処理していませんでした。この結果、ファイル名を指定しないでファイルを保存しようとすると、 GTK+ が応答しなくなりました。この更新により、下層にあるソースコードに、この状況に対する明示的なテストが追加されました。この結果、GTK+ が前述のシナリオでハングアップすることはなくなりました。(BZ#702342)

* 特定のグラフィックスタブレットを使用すると、GTK+ ライブラリが間違って入力座標を変換していました。この結果、ペンの場所と、画面に描画されるコンテンツの間でオフセットが生じていました。
この問題は、次の構成に限定して発生するものです:入力座標がデュアルヘッド構成の単一モニターにバインドされた Wacom タブレットで、圧力感知オプションが有効になっているペンで描画する場合。この更新により、座標変換方法が変更されたので、前述の構成でオフセットは発生しなくなりました。(BZ#743658)

* 以前は、GtkNotebook ウィジェットを使用するアプリケーションのタブでドラッグアンドドロップ操作を実行すると、同じリソースが二度リリースされました。結局、この挙動のために、アプリケーションがセグメンテーション違反で終了していました。このバグが修正されて、 GtkNotebook を使用するアプリケーションは前述のシナリオで終了しなくなりました。(BZ#830901)

GTK+ の全ユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、これらの問題を修正することが推奨されます。

ソリューション

影響を受ける gtk2 パッケージを更新してください。

参考資料

http://www.nessus.org/u?917b1fd7

http://www.nessus.org/u?1b5003cf

プラグインの詳細

深刻度: Medium

ID: 63580

ファイル名: centos_RHSA-2013-0135.nasl

バージョン: 1.13

タイプ: local

エージェント: unix

公開日: 2013/1/17

更新日: 2021/1/4

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS スコアのソース: CVE-2012-2370

脆弱性情報

CPE: p-cpe:/a:centos:centos:gtk2, p-cpe:/a:centos:centos:gtk2-devel, cpe:/o:centos:centos:5

必要な KB アイテム: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2013/1/9

脆弱性公開日: 2012/8/13

参照情報

CVE: CVE-2012-2370

BID: 53548

RHSA: 2013:0135