Fedora 20 : x2goserver-4.0.1.10-1.fc20 (2014-0202)
high Nessus プラグイン ID 71922
Language:
概要
リモート Fedora ホストに、セキュリティ更新がありません。説明
このリリースでは、x2gocleansessions の深刻な脆弱性を含めた、 Baikal LTS リリース 4.0.0.8 で導入された全ての変更を取り入れています。x2goserver の LTS バージョン 4.0.0.8 には、以下利点があります:o NX session.log ファイルの解析を強化します。特定の状況で失敗した場合のセッションの中断/再開を修正します。o x2gocleansessions の深刻な脆弱性を修正します。o セッション ID 文字列、ポート番号、表示番号およびエージェント PID 番号を、セッション DB に文字列として書き込む前に、サニタイズします。
注:このリリースでは、ユーザー権限を持つ攻撃者が、X2Go サーバーマシンに対する root アクセスを取得できる、X2Go サーバーでの深刻な脆弱性を修正します。全てのユーザーは、X2Go サーバーのインストールをアップグレードする必要があります。
x2goserver のバージョン 4.0.1.10 には、以下の新しい利点があります:
o 4.0.1.9 で中断していた x2goresume-session を修正します。 o x2goserver-fmbindings を出荷します。o x2goagent の TCP リスニングを有効/無効にできるようにします。
- 現在のところ Xsession のサポートを無効にします - Debian 特定(バグ #1038834)
4.0.1.9 に更新します - 4.0.0.7 LTS バグ修正リリースからの変更を取り入れます。
- 正しくないキーボードパッチをドロップします - tempfile の代わりに mktemp を使用します
- Xsession.d のリンク作成を修正します
- キーボード設定を修正するパッチを追加します(バグ #1033876)
4.0.1.8 への更新:
- セッション再開時でのサイズ変更を修正。
- セッション再開中の(x2gosetkeyboard による)自動キーボードセットアップを修正。(修正:#285)。
- KDE で(QT_GRAPHICSSYSTEM 環境編数を関連させることで) sudoed コマンドを許可する sudoers.d/x2goserver ファイルを提供します。(修正:#276)。
- PostgreSQL をセッション db バックエンドとして用いることで、 root ユーザーがセッションを起動することを防ぎます。また、x2gouser_root が PostgreSQL ユーザーとして追加されることも防ぎます。
(修正:#310)。
- 中断中/終了中に、DB のステータス変更をできる限り遅く実行します。
- ルートのないセッションを、形状パラメーターなしで開始/再開します。特に、ルートのないセッションに X2GO_GEOMETRY=fullscreen を使用すると、1x1 px の余分なセッションウィンドウの原因となります(nxagent の Window.c の nxagentCreateIconWindow)。
- x2goruncommand(MATE セッション起動用)の誤字を修正。
- クライアント側フォルダーを SSHFS 経由でマウントする際に使用する umask を、 x2goserver.conf で構成できるようにします。
(修正:#331)。
- 「which」を回避対象とする代わりに、bash-builtin の「type」を使用します。(修正:#305)。
- 現在のところ Xsession のサポートを無効にします - Debian 特定(バグ #1038834)
4.0.1.9 に更新します - 4.0.0.7 LTS バグ修正リリースからの変更を取り入れます。
- 正しくないキーボードパッチをドロップします
- tempfile の代わりに mktemp を使用します
- Xsession.d のリンク作成を修正します
- キーボード設定を修正するパッチを追加します(バグ #1033876)
4.0.1.8 への更新:
- セッション再開時でのサイズ変更を修正。
- セッション再開中の(x2gosetkeyboard による)自動キーボードセットアップを修正。(修正:#285)。
- KDE で(QT_GRAPHICSSYSTEM 環境編数を関連させることで) sudoed コマンドを許可する sudoers.d/x2goserver ファイルを提供します。(修正:#276)。
- PostgreSQL をセッション db バックエンドとして用いることで、 root ユーザーがセッションを起動することを防ぎます。また、x2gouser_root が PostgreSQL ユーザーとして追加されることも防ぎます。
(修正:#310)。
- 中断中/終了中に、DB のステータス変更をできる限り遅く実行します。
- ルートのないセッションを、形状パラメーターなしで開始/再開します。特に、ルートのないセッションに X2GO_GEOMETRY=fullscreen を使用すると、1x1 px の余分なセッションウィンドウの原因となります(nxagent の Window.c の nxagentCreateIconWindow)。
- x2goruncommand(MATE セッション起動用)の誤字を修正。
- クライアント側フォルダーを SSHFS 経由でマウントする際に使用する umask を、 x2goserver.conf で構成できるようにします。
(修正:#331)。
- 「which」を回避対象とする代わりに、bash-builtin の「type」を使用します。(修正:#305)。
注意:Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。
ソリューション
影響を受ける x2goserver パッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 71922
ファイル名: fedora_2014-0202.nasl
バージョン: 1.5
タイプ: local
エージェント: unix
ファミリー: Fedora Local Security Checks
公開日: 2014/1/13
更新日: 2021/1/11
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
脆弱性情報
CPE: p-cpe:/a:fedoraproject:fedora:x2goserver, cpe:/o:fedoraproject:fedora:20
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
パッチ公開日: 2014/1/4
脆弱性公開日: 2014/1/4
参照情報
FEDORA: 2014-0202