RHEL 6 : X11 クライアントライブラリ (RHSA-2014:1436)
critical Nessus プラグイン ID 78411
Language:
概要
リモートの Red Hat ホストに 1 つ以上のセキュリティ更新プログラムがありません。説明
リモートの Redhat Enterprise Linux 6 ホストに、RHSA-2014:1436 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。X11(Xorg)ライブラリは、ライブラリルーチンを提供するもので、すべての X Window アプリケーション内で使用されます。
各種 X11 クライアントライブラリが特定のプロトコルデータを処理する場合の方法に、ヒープベースのバッファオーバーフローにつながる整数オーバーフローの欠陥が複数見つかりました。無効なプロトコルデータを、悪意のある X11 クライアントを介して X11 サーバーに送信できる攻撃者は、これらの欠陥のいずれかを利用して、システムにおける権限を昇格させる可能性があります。(CVE-2013-1981、CVE-2013-1982、CVE-2013-1983、CVE-2013-1984、CVE-2013-1985、CVE-2013-1986、CVE-2013-1987、CVE-2013-1988、CVE-2013-1989、CVE-2013-1990、CVE-2013-1991、CVE-2013-2003、CVE-2013-2062、CVE-2013-2064)
各種 X11 クライアントライブラリが、X11サーバーから返されたデータを処理する場合の方法に、ヒープベースのバッファ領域外書き込みの欠陥につながる配列インデックスのエラーが複数見つかりました。悪意のある X11 サーバーが、この欠陥を利用して、X11クライアントを実行するユーザーの権限で任意のコードを実行する可能性があります。(CVE-2013-1997、CVE-2013-1998、CVE-2013-1999、CVE-2013-2000、CVE-2013-2001、CVE-2013-2002、CVE-2013-2066)
X.Org X11 の libXi ランタイムライブラリの XListInputDevices() 関数が、符号付き数字を処理する場合の方法に、バッファオーバーフローの欠陥が見つかりました。
悪意のある X11 サーバーが、この欠陥を利用して、X11クライアントを実行するユーザーの権限で任意のコードを実行する可能性があります。(CVE-2013-1995)
X.Org X11 libXt ランタイムライブラリが、初期化されていないポインターを使用する場合の方法に欠陥が見つかりました。悪意のある X11 サーバーが、この欠陥を利用して、X11クライアントを実行するユーザーの権限で任意のコードを実行する可能性があります。(CVE-2013-2005)
libX11(Core X11 プロトコルクライアントライブラリ)が、ユーザー指定の特定のファイルを処理する場合の方法に、スタックベースのバッファオーバーフローの欠陥が 2 つありました。
悪意のある X11 サーバーが、この欠陥を利用して、特別に細工されたファイルを介して X11 クライアントをクラッシュさせる可能性があります。(CVE-2013-2004)
xkeyboard-config パッケージは、upstream バージョン 2.11 にアップグレードされて、以前のバージョンの多数のバグ修正と拡張機能を提供しています。(BZ#1077471)
この更新では、次のバグも修正しています。
* これまでは、mesa-libGL パッケージを更新しても libX11 パッケージは更新されませんでした(mesa-libGL との依存関係は示されていました)。このバグが修正され、mesa-libGL を更新すれば、すべての依存パッケージが予期したとおりに更新されるようになりました。(BZ#1054614)
* これまでは、カスタマーアプリケーションを閉じると、X Server が予期せず終了することが時々ありました。この更新後は、ユーザーがカスタマーアプリケーションを閉じても、X Server がハングすることがなくなりました。(BZ#971626)
X11 の全クライアントライブラリユーザーは、これらの更新済みパッケージにアップグレードし、これらの問題を修正し、これらの拡張機能を追加することが推奨されます。
Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
http://www.nessus.org/u?9dcfdc7b
http://www.x.org/wiki/Development/Security/Advisory-2013-05-23/
https://access.redhat.com/errata/RHSA-2014:1436
https://access.redhat.com/security/updates/classification/#moderate
https://bugzilla.redhat.com/show_bug.cgi?id=1119322
https://bugzilla.redhat.com/show_bug.cgi?id=959040
https://bugzilla.redhat.com/show_bug.cgi?id=959046
https://bugzilla.redhat.com/show_bug.cgi?id=959048
https://bugzilla.redhat.com/show_bug.cgi?id=959049
https://bugzilla.redhat.com/show_bug.cgi?id=959056
https://bugzilla.redhat.com/show_bug.cgi?id=959059
https://bugzilla.redhat.com/show_bug.cgi?id=959061
https://bugzilla.redhat.com/show_bug.cgi?id=959066
https://bugzilla.redhat.com/show_bug.cgi?id=959068
https://bugzilla.redhat.com/show_bug.cgi?id=959070
https://bugzilla.redhat.com/show_bug.cgi?id=959072
https://bugzilla.redhat.com/show_bug.cgi?id=959077
https://bugzilla.redhat.com/show_bug.cgi?id=959108
https://bugzilla.redhat.com/show_bug.cgi?id=959112
https://bugzilla.redhat.com/show_bug.cgi?id=960345
https://bugzilla.redhat.com/show_bug.cgi?id=960346
https://bugzilla.redhat.com/show_bug.cgi?id=960347
https://bugzilla.redhat.com/show_bug.cgi?id=960349
https://bugzilla.redhat.com/show_bug.cgi?id=960350
https://bugzilla.redhat.com/show_bug.cgi?id=960352
https://bugzilla.redhat.com/show_bug.cgi?id=960357
https://bugzilla.redhat.com/show_bug.cgi?id=960362
https://bugzilla.redhat.com/show_bug.cgi?id=960367
プラグインの詳細
深刻度: Critical
ID: 78411
ファイル名: redhat-RHSA-2014-1436.nasl
バージョン: 1.21
タイプ: local
エージェント: unix
公開日: 2014/10/14
更新日: 2025/3/21
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
Vendor
Vendor Severity: Moderate
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2013-7439
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS スコアのソース: CVE-2013-1997
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:libxcursor, p-cpe:/a:redhat:enterprise_linux:libxp, p-cpe:/a:redhat:enterprise_linux:libx11, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:libxfixes-devel, p-cpe:/a:redhat:enterprise_linux:libxi, p-cpe:/a:redhat:enterprise_linux:libxxf86dga, p-cpe:/a:redhat:enterprise_linux:libxtst, p-cpe:/a:redhat:enterprise_linux:libx11-common, p-cpe:/a:redhat:enterprise_linux:libxxf86vm, p-cpe:/a:redhat:enterprise_linux:libxinerama-devel, p-cpe:/a:redhat:enterprise_linux:libxres, p-cpe:/a:redhat:enterprise_linux:xkeyboard-config-devel, p-cpe:/a:redhat:enterprise_linux:libxv, p-cpe:/a:redhat:enterprise_linux:libxext, p-cpe:/a:redhat:enterprise_linux:libxtst-devel, p-cpe:/a:redhat:enterprise_linux:xcb-proto, p-cpe:/a:redhat:enterprise_linux:libxcursor-devel, p-cpe:/a:redhat:enterprise_linux:libxfixes, p-cpe:/a:redhat:enterprise_linux:libxvmc, p-cpe:/a:redhat:enterprise_linux:xorg-x11-xtrans-devel, p-cpe:/a:redhat:enterprise_linux:libxvmc-devel, p-cpe:/a:redhat:enterprise_linux:libxp-devel, p-cpe:/a:redhat:enterprise_linux:libxcb-doc, p-cpe:/a:redhat:enterprise_linux:libxv-devel, p-cpe:/a:redhat:enterprise_linux:libxinerama, p-cpe:/a:redhat:enterprise_linux:libxi-devel, p-cpe:/a:redhat:enterprise_linux:libxt-devel, p-cpe:/a:redhat:enterprise_linux:libxext-devel, p-cpe:/a:redhat:enterprise_linux:libxrandr-devel, p-cpe:/a:redhat:enterprise_linux:libxcb-devel, p-cpe:/a:redhat:enterprise_linux:libxres-devel, p-cpe:/a:redhat:enterprise_linux:libdmx, p-cpe:/a:redhat:enterprise_linux:xorg-x11-proto-devel, p-cpe:/a:redhat:enterprise_linux:libxcb, p-cpe:/a:redhat:enterprise_linux:xkeyboard-config, p-cpe:/a:redhat:enterprise_linux:libxrender, p-cpe:/a:redhat:enterprise_linux:libxrandr, p-cpe:/a:redhat:enterprise_linux:libxrender-devel, p-cpe:/a:redhat:enterprise_linux:libxxf86vm-devel, p-cpe:/a:redhat:enterprise_linux:libxcb-python, p-cpe:/a:redhat:enterprise_linux:libxt, p-cpe:/a:redhat:enterprise_linux:libxxf86dga-devel, p-cpe:/a:redhat:enterprise_linux:libx11-devel, p-cpe:/a:redhat:enterprise_linux:libdmx-devel
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2014/10/13
脆弱性公開日: 2013/6/15
参照情報
CVE: CVE-2013-1981, CVE-2013-1982, CVE-2013-1983, CVE-2013-1984, CVE-2013-1985, CVE-2013-1986, CVE-2013-1987, CVE-2013-1988, CVE-2013-1989, CVE-2013-1990, CVE-2013-1991, CVE-2013-1992, CVE-2013-1995, CVE-2013-1997, CVE-2013-1998, CVE-2013-1999, CVE-2013-2000, CVE-2013-2001, CVE-2013-2002, CVE-2013-2003, CVE-2013-2004, CVE-2013-2005, CVE-2013-2062, CVE-2013-2063, CVE-2013-2064, CVE-2013-2066, CVE-2013-7439
BID: 60120, 60121, 60122, 60123, 60124, 60125, 60126, 60127, 60128, 60129, 60131, 60132, 60133, 60134, 60135, 60136, 60137, 60138, 60139, 60143, 60144, 60145, 60146, 60148