RHEL 6:X11 クライアントライブラリ(RHSA-2014:1436)
medium Nessus プラグイン ID 78411
Language:
概要
リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。説明
複数のセキュリティの問題といくつかのバグを修正し、さまざまな強化機能を追加した更新済みX11クライアントライブラリパッケージが、 Red Hat Enterprise Linux 6 で現在利用可能です。Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中として評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System (CVSS)のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。
X11(Xorg)ライブラリは、ライブラリルーチンを提供するもので、すべての X Window アプリケーション内で使用されます。
各種 X11 クライアントライブラリが特定のプロトコルデータを処理する場合の方法に、ヒープベースのバッファオーバーフローにつながる整数オーバーフローの欠陥が複数見つかりました。無効なプロトコルデータを、悪意のある X11 クライアントを介して X11 サーバーに送信できる攻撃者は、これらの欠陥のいずれかを利用して、システムにおける権限を昇格させる可能性があります。
(CVE-2013-1981、CVE-2013-1982、 CVE-2013-1983、CVE-2013-1984、CVE-2013-1985、 CVE-2013-1986、CVE-2013-1987、CVE-2013-1988、 CVE-2013-1989、CVE-2013-1990、CVE-2013-1991、 CVE-2013-2003、CVE-2013-2062、CVE-2013-2064)
各種 X11 クライアントライブラリが、X11 サーバーから返されたデータを処理する場合の方法に、ヒープベースのバッファ領域外書き込みの欠陥につながる配列インデックスのエラーが複数見つかりました。悪意のある X11 サーバーが、この欠陥を利用して、X11 クライアントを実行するユーザーの権限で任意のコードを実行する可能性があります。(CVE-2013-1997、CVE-2013-1998、CVE-2013-1999、CVE-2013-2000、CVE-2013-2001、CVE-2013-2002、CVE-2013-2066)
X.Org X11 の libXi ランタイムライブラリの XListInputDevices() 関数が、符号付き数字を処理する場合の方法に、バッファオーバーフローの欠陥が見つかりました。
悪意のある X11 サーバーが、この欠陥を利用して、X11 クライアントを実行するユーザーの権限で任意のコードを実行する可能性があります。
(CVE-2013-1995)
X.Org X11 libXt ランタイムライブラリが、初期化されていないポインターを使用する場合の方法に欠陥が見つかりました。悪意のある X11 サーバーが、この欠陥を利用して、X11 クライアントを実行するユーザーの権限で任意のコードを実行する可能性があります。(CVE-2013-2005)
libX11(Core X11 プロトコルクライアントライブラリ)が、ユーザー指定の特定のファイルを処理する場合の方法に、スタックベースのバッファオーバーフローの欠陥が 2 つありました。悪意のある X11 サーバーが、この欠陥を利用して、特別に細工されたファイルで X11 クライアントをクラッシュさせる可能性があります。(CVE-2013-2004)
xkeyboard-config パッケージは、upstream バージョン 2.11 にアップグレードされて、以前のバージョンの多数のバグ修正と拡張機能を提供しています。(BZ#1077471)
この更新は以下のバグも修正します:
* これまでは、mesa-libGL パッケージを更新しても libX11 パッケージは更新されませんでした(mesa-libGL との依存関係は示されていました)。
このバグが修正され、mesa-libGL を更新すれば、すべての依存パッケージが予期したとおりに更新されるようになりました。(BZ#1054614)
* これまでは、カスタマーアプリケーションを閉じると、X Server が予期せず終了することが時々ありました。この更新後は、ユーザーがカスタマーアプリケーションを閉じても、X Server がハングすることがなくなりました。
(BZ#971626)
X11 の全クライアントライブラリユーザーは、これらの更新済みパッケージにアップグレードし、これらの問題を修正し、これらの拡張機能を追加することが推奨されます。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://www.x.org/wiki/Development/Security/Advisory-2013-05-23/
https://access.redhat.com/errata/RHSA-2014:1436
https://access.redhat.com/security/cve/cve-2013-2062
https://access.redhat.com/security/cve/cve-2013-2064
https://access.redhat.com/security/cve/cve-2013-2066
https://access.redhat.com/security/cve/cve-2013-2003
https://access.redhat.com/security/cve/cve-2013-2002
https://access.redhat.com/security/cve/cve-2013-2001
https://access.redhat.com/security/cve/cve-2013-2000
https://access.redhat.com/security/cve/cve-2013-2005
https://access.redhat.com/security/cve/cve-2013-2004
https://access.redhat.com/security/cve/cve-2013-1989
https://access.redhat.com/security/cve/cve-2013-1988
https://access.redhat.com/security/cve/cve-2013-1987
https://access.redhat.com/security/cve/cve-2013-1986
https://access.redhat.com/security/cve/cve-2013-1985
https://access.redhat.com/security/cve/cve-2013-1984
https://access.redhat.com/security/cve/cve-2013-1983
https://access.redhat.com/security/cve/cve-2013-1982
https://access.redhat.com/security/cve/cve-2013-1981
https://access.redhat.com/security/cve/cve-2013-1998
https://access.redhat.com/security/cve/cve-2013-1999
https://access.redhat.com/security/cve/cve-2013-1990
https://access.redhat.com/security/cve/cve-2013-1991
https://access.redhat.com/security/cve/cve-2013-1995
https://access.redhat.com/security/cve/cve-2013-1997
プラグインの詳細
深刻度: Medium
ID: 78411
ファイル名: redhat-RHSA-2014-1436.nasl
バージョン: 1.20
タイプ: local
エージェント: unix
公開日: 2014/10/14
更新日: 2021/1/14
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Medium
基本値: 6.8
現状値: 5
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:libx11, p-cpe:/a:redhat:enterprise_linux:libx11-common, p-cpe:/a:redhat:enterprise_linux:libx11-debuginfo, p-cpe:/a:redhat:enterprise_linux:libx11-devel, p-cpe:/a:redhat:enterprise_linux:libxcursor, p-cpe:/a:redhat:enterprise_linux:libxcursor-debuginfo, p-cpe:/a:redhat:enterprise_linux:libxcursor-devel, p-cpe:/a:redhat:enterprise_linux:libxext, p-cpe:/a:redhat:enterprise_linux:libxext-debuginfo, p-cpe:/a:redhat:enterprise_linux:libxext-devel, p-cpe:/a:redhat:enterprise_linux:libxfixes, p-cpe:/a:redhat:enterprise_linux:libxfixes-debuginfo, p-cpe:/a:redhat:enterprise_linux:libxfixes-devel, p-cpe:/a:redhat:enterprise_linux:libxi, p-cpe:/a:redhat:enterprise_linux:libxi-debuginfo, p-cpe:/a:redhat:enterprise_linux:libxi-devel, p-cpe:/a:redhat:enterprise_linux:libxinerama, p-cpe:/a:redhat:enterprise_linux:libxinerama-debuginfo, p-cpe:/a:redhat:enterprise_linux:libxinerama-devel, p-cpe:/a:redhat:enterprise_linux:libxp, p-cpe:/a:redhat:enterprise_linux:libxp-debuginfo, p-cpe:/a:redhat:enterprise_linux:libxp-devel, p-cpe:/a:redhat:enterprise_linux:libxrandr, p-cpe:/a:redhat:enterprise_linux:libxrandr-debuginfo, p-cpe:/a:redhat:enterprise_linux:libxrandr-devel, p-cpe:/a:redhat:enterprise_linux:libxrender, p-cpe:/a:redhat:enterprise_linux:libxrender-debuginfo, p-cpe:/a:redhat:enterprise_linux:libxrender-devel, p-cpe:/a:redhat:enterprise_linux:libxres, p-cpe:/a:redhat:enterprise_linux:libxres-debuginfo, p-cpe:/a:redhat:enterprise_linux:libxres-devel, p-cpe:/a:redhat:enterprise_linux:libxt, p-cpe:/a:redhat:enterprise_linux:libxt-debuginfo, p-cpe:/a:redhat:enterprise_linux:libxt-devel, p-cpe:/a:redhat:enterprise_linux:libxtst, p-cpe:/a:redhat:enterprise_linux:libxtst-debuginfo, p-cpe:/a:redhat:enterprise_linux:libxtst-devel, p-cpe:/a:redhat:enterprise_linux:libxv, p-cpe:/a:redhat:enterprise_linux:libxv-debuginfo, p-cpe:/a:redhat:enterprise_linux:libxv-devel, p-cpe:/a:redhat:enterprise_linux:libxvmc, p-cpe:/a:redhat:enterprise_linux:libxvmc-debuginfo, p-cpe:/a:redhat:enterprise_linux:libxvmc-devel, p-cpe:/a:redhat:enterprise_linux:libxxf86dga, p-cpe:/a:redhat:enterprise_linux:libxxf86dga-debuginfo, p-cpe:/a:redhat:enterprise_linux:libxxf86dga-devel, p-cpe:/a:redhat:enterprise_linux:libxxf86vm, p-cpe:/a:redhat:enterprise_linux:libxxf86vm-debuginfo, p-cpe:/a:redhat:enterprise_linux:libxxf86vm-devel, p-cpe:/a:redhat:enterprise_linux:libdmx, p-cpe:/a:redhat:enterprise_linux:libdmx-debuginfo, p-cpe:/a:redhat:enterprise_linux:libdmx-devel, p-cpe:/a:redhat:enterprise_linux:libxcb, p-cpe:/a:redhat:enterprise_linux:libxcb-debuginfo, p-cpe:/a:redhat:enterprise_linux:libxcb-devel, p-cpe:/a:redhat:enterprise_linux:libxcb-doc, p-cpe:/a:redhat:enterprise_linux:libxcb-python, p-cpe:/a:redhat:enterprise_linux:xcb-proto, p-cpe:/a:redhat:enterprise_linux:xkeyboard-config, p-cpe:/a:redhat:enterprise_linux:xkeyboard-config-devel, p-cpe:/a:redhat:enterprise_linux:xorg-x11-proto-devel, p-cpe:/a:redhat:enterprise_linux:xorg-x11-xtrans-devel, cpe:/o:redhat:enterprise_linux:6
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2014/10/13
脆弱性公開日: 2013/6/15
参照情報
CVE: CVE-2013-1981, CVE-2013-1982, CVE-2013-1983, CVE-2013-1984, CVE-2013-1985, CVE-2013-1986, CVE-2013-1987, CVE-2013-1988, CVE-2013-1989, CVE-2013-1990, CVE-2013-1991, CVE-2013-1992, CVE-2013-1995, CVE-2013-1997, CVE-2013-1998, CVE-2013-1999, CVE-2013-2000, CVE-2013-2001, CVE-2013-2002, CVE-2013-2003, CVE-2013-2004, CVE-2013-2005, CVE-2013-2062, CVE-2013-2063, CVE-2013-2064, CVE-2013-2066
BID: 60120, 60121, 60122, 60123, 60124, 60125, 60126, 60127, 60128, 60129, 60131, 60132, 60133, 60134, 60135, 60136, 60137, 60138, 60139, 60143, 60144, 60145, 60146, 60148
RHSA: 2014:1436