検出

CentOS 3:xloadimage(CESA-2005:332-01)

high Nessus プラグイン ID 67025

Language:

概要

リモートの CentOS ホストにセキュリティ更新がありません。

説明

無効な形式の tiff および pbm/pnm/ppm 画像の処理でのバグを修正し、ファイル名のメタ文字を処理するための新しい xloadimage パッケージが現在利用可能です。

この更新は、Red Hat セキュリティレスポンスチームによりセキュリティインパクトが小さいと評価されています。

xloadimage ユーティリティは、X Window System のウインドウに画像を表示し、画像をルートウインドウにロードし、また画像をファイルに書き込みます。
Xloadimage は多くの画像タイプ(GIF、TIFF、JPEG、XPM、および XBM を含みます)をサポートします。

xloadimage で欠陥が発見され、gunzip コマンドを呼び出すときにファイル名が適切に引用符で囲まれません。攻撃者は注意深く細工されたファイル名のあるファイルを作成して、被害者が開いたときに任意のコマンドを実行させる可能性があります。Common Vulnerabilities and Exposures プロジェクト(cve.mitre.org)は、この問題に CVE-2005-0638 の識別名を割り当てています。

特定の無効な TIFF、PNM、PBM、または PPM ファイル名をつけて呼び出された場合、xloadimage の他のバグでこれがクラッシュする可能性があります。

xloadimage の全ユーザーは、バックポートされたパッチが含まれるこのエラータパッケージへアップグレードし、これらの問題を解決する必要があります。

ソリューション

影響を受ける xloadimage パッケージを更新してください。

参考資料

http://www.nessus.org/u?3e7c35a9

http://www.nessus.org/u?c46c9ec3

プラグインの詳細

深刻度: High

ID: 67025

ファイル名: centos_RHSA-2005-332-01.nasl

バージョン: 1.8

タイプ: local

エージェント: unix

公開日: 2013/6/29

更新日: 2021/1/4

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.8

CVSS v2

リスクファクター: High

基本値: 7.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:centos:centos:xloadimage, cpe:/o:centos:centos:3

必要な KB アイテム: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list

パッチ公開日: 2005/4/20

脆弱性公開日: 2005/3/2

参照情報

CVE: CVE-2005-0638

RHSA: 2005:332