検出

Scientific Linux セキュリティ更新:SL5.x i386/x86_64 の gnome-vfs2

medium Nessus プラグイン ID 63594

Language:

概要

リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

neon Extensible Markup Language(XML)パーサーでサービス拒否の欠陥が見つかりました。gnome-vfs2(Nautilus など)を使用しているアプリケーションで悪意ある DAV サーバーにアクセスすると、アプリケーションが過剰な量の CPU とメモリを消費する可能性があります。
(CVE-2009-2473)

この更新は以下のバグも修正します:

- Uniform Resource Identifier(URI)から抽出されると、gnome-vfs2 はエスケープされたファイルパスを返します。URI に保存されるパスに、ASCII 以外の文字または、ファイルパス以外のものとして解析される ASCII 文字(例えば空白)が含まれていると、エスケープされたパスが不正確なものになっていました。結果として、上述のタイプの URI のあるファイルは、処理されませんでした。
 この更新で、gnome-vfs2 はシステムコールに必要なパスを適切にアンエスケープします。その結果、これらのパスは適切に解析されるようになっています。

- 特定の場合に、外部エントリーが入力されると、ゴミ箱情報ファイルが表示され、ライブデータが指し示されていました。このため、ゴミ箱を空にすると、貴重なデータが間違って削除されていました。
 この更新では、このような削除を防ぐための回避策が適用されています。この結果、偶発的なデータ消失が防止されるようになりました。しかし、この問題を完全に解決するために、今後もさらに情報を収集する必要があります。

- 送信先ファイルシステムのテストチェックが間違っているために、Nautilus ファイルマネージャーが、他のファイルシステムにあるフォルダへのシンボリックリンクを削除できませんでした。この更新では、特別なテストが追加されています。この結果、他のファイルシステムを指し示しているシンボリックリンクリンクをゴミ箱に入れたり、削除したりすることが適切に行えるようになりました。

- この更新が出る前は、コピーのための読み取り権限がディレクトリにマークされていない場合、Nautilus ファイルマネージャーはこれらの読み取り不可能なディレクトリを通知なしにスキップしていました。この更新で、 Nautilus は、前述の問題について、エラーメッセージを表示し、ユーザーに対して適切に通知するようになりました。

- 以前は、gnome-vfs2 は、IBM Rational ClearCase などに使用される MultiVersion File System(MVFS)の各ファイルに対して stat() 関数呼び出しを使用していました。こうした挙動により、ファイル操作が大幅に遅くなっていました。この更新では、不要な stat() 操作が制限されています。この結果、Nautilus などの gnome-vfs2 ユーザーインターフェイスの応答性が向上しています。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?df3aac07

プラグインの詳細

深刻度: Medium

ID: 63594

ファイル名: sl_20130108_gnome_vfs2_on_SL5_x.nasl

バージョン: 1.5

タイプ: local

エージェント: unix

公開日: 2013/1/17

更新日: 2021/1/14

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

基本値: 4.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:P

脆弱性情報

CPE: p-cpe:/a:fermilab:scientific_linux:gnome-vfs2, p-cpe:/a:fermilab:scientific_linux:gnome-vfs2-debuginfo, p-cpe:/a:fermilab:scientific_linux:gnome-vfs2-devel, p-cpe:/a:fermilab:scientific_linux:gnome-vfs2-smb, x-cpe:/o:fermilab:scientific_linux

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

パッチ公開日: 2013/1/8

脆弱性公開日: 2009/8/21

参照情報

CVE: CVE-2009-2473

CWE: 399