Scientific Linux セキュリティ更新：SL6.x i386/x86_64 の X11 クライアントライブラリ

medium Nessus プラグイン ID 78841

Language:

概要

リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

各種 X11 クライアントライブラリが特定のプロトコルデータを処理する場合の方法に、ヒープベースのバッファオーバーフローにつながる整数オーバーフローの欠陥が複数見つかりました。無効なプロトコルデータを、悪意のある X11 クライアントを介して X11 サーバーに送信できる攻撃者は、これらの欠陥のいずれかを利用して、システムにおける権限を昇格させる可能性があります。
（CVE-2013-1981、CVE-2013-1982、 CVE-2013-1983、CVE-2013-1984、CVE-2013-1985、 CVE-2013-1986、CVE-2013-1987、CVE-2013-1988、 CVE-2013-1989、CVE-2013-1990、CVE-2013-1991、 CVE-2013-2003、CVE-2013-2062、CVE-2013-2064）

各種 X11 クライアントライブラリが、X11 サーバーから返されたデータを処理する場合の方法に、ヒープベースのバッファ領域外書き込みの欠陥につながる配列インデックスのエラーが複数見つかりました。悪意のある X11 サーバーが、この欠陥を利用して、X11 クライアントを実行するユーザーの権限で任意のコードを実行する可能性があります。（CVE-2013-1997、CVE-2013-1998、CVE-2013-1999、CVE-2013-2000、CVE-2013-2001、CVE-2013-2002、CVE-2013-2066）

X.Org X11 の libXi ランタイムライブラリの XListInputDevices() 関数が、符号付き数字を処理する場合の方法に、バッファオーバーフローの欠陥が見つかりました。
悪意のある X11 サーバーが、この欠陥を利用して、X11 クライアントを実行するユーザーの権限で任意のコードを実行する可能性があります。
（CVE-2013-1995）

X.Org X11 libXt ランタイムライブラリが、初期化されていないポインターを使用する場合の方法に欠陥が見つかりました。悪意のある X11 サーバーが、この欠陥を利用して、X11 クライアントを実行するユーザーの権限で任意のコードを実行する可能性があります。（CVE-2013-2005）

libX11（Core X11 プロトコルクライアントライブラリ）が、ユーザー指定の特定のファイルを処理する場合の方法に、スタックベースのバッファオーバーフローの欠陥が 2 つありました。悪意のある X11 サーバーが、この欠陥を利用して、特別に細工されたファイルで X11 クライアントをクラッシュさせる可能性があります。（CVE-2013-2004）

xkeyboard-config パッケージは、upstream バージョン 2.11 にアップグレードされて、以前のバージョンの多数のバグ修正と拡張機能を提供しています。

この更新は以下のバグも修正します：

- 以前は、mesa-libGL パッケージを更新しても libX11 パッケージは更新されませんでした（mesa-libGL との依存関係は示されていました）。このバグが修正され、mesa-libGL を更新すれば、すべての依存パッケージが予期したとおりに更新されるようになりました。

- 以前は、カスタマーアプリケーションを閉じると、X Server が予期せず終了する可能性があります。この更新後は、ユーザーがカスタマーアプリケーションを閉じても、X Server がハングすることがなくなりました。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?cb540d84

プラグインの詳細

深刻度: Medium

ID: 78841

ファイル名: sl_20141014_X11_client_libraries_on_SL6_x.nasl

バージョン: 1.6

タイプ: local

エージェント: unix

ファミリー: Scientific Linux Local Security Checks

公開日: 2014/11/4

更新日: 2021/1/14

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

基本値: 6.8

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:fermilab:scientific_linux:libx11, p-cpe:/a:fermilab:scientific_linux:libx11-common, p-cpe:/a:fermilab:scientific_linux:libx11-debuginfo, p-cpe:/a:fermilab:scientific_linux:libx11-devel, p-cpe:/a:fermilab:scientific_linux:libxcursor, p-cpe:/a:fermilab:scientific_linux:libxcursor-debuginfo, p-cpe:/a:fermilab:scientific_linux:libxcursor-devel, p-cpe:/a:fermilab:scientific_linux:libxext, p-cpe:/a:fermilab:scientific_linux:libxext-debuginfo, p-cpe:/a:fermilab:scientific_linux:libxext-devel, p-cpe:/a:fermilab:scientific_linux:libxfixes, p-cpe:/a:fermilab:scientific_linux:libxfixes-debuginfo, p-cpe:/a:fermilab:scientific_linux:libxfixes-devel, p-cpe:/a:fermilab:scientific_linux:libxi, p-cpe:/a:fermilab:scientific_linux:libxi-debuginfo, p-cpe:/a:fermilab:scientific_linux:libxi-devel, p-cpe:/a:fermilab:scientific_linux:libxinerama, p-cpe:/a:fermilab:scientific_linux:libxinerama-debuginfo, p-cpe:/a:fermilab:scientific_linux:libxinerama-devel, p-cpe:/a:fermilab:scientific_linux:libxp, p-cpe:/a:fermilab:scientific_linux:libxp-debuginfo, p-cpe:/a:fermilab:scientific_linux:libxp-devel, p-cpe:/a:fermilab:scientific_linux:libxrandr, p-cpe:/a:fermilab:scientific_linux:libxrandr-debuginfo, p-cpe:/a:fermilab:scientific_linux:libxrandr-devel, p-cpe:/a:fermilab:scientific_linux:libxrender, p-cpe:/a:fermilab:scientific_linux:libxrender-debuginfo, p-cpe:/a:fermilab:scientific_linux:libxrender-devel, p-cpe:/a:fermilab:scientific_linux:libxres, p-cpe:/a:fermilab:scientific_linux:libxres-debuginfo, p-cpe:/a:fermilab:scientific_linux:libxres-devel, p-cpe:/a:fermilab:scientific_linux:libxt, p-cpe:/a:fermilab:scientific_linux:libxt-debuginfo, p-cpe:/a:fermilab:scientific_linux:libxt-devel, p-cpe:/a:fermilab:scientific_linux:libxtst, p-cpe:/a:fermilab:scientific_linux:libxtst-debuginfo, p-cpe:/a:fermilab:scientific_linux:libxtst-devel, p-cpe:/a:fermilab:scientific_linux:libxv, p-cpe:/a:fermilab:scientific_linux:libxv-debuginfo, p-cpe:/a:fermilab:scientific_linux:libxv-devel, p-cpe:/a:fermilab:scientific_linux:libxvmc, p-cpe:/a:fermilab:scientific_linux:libxvmc-debuginfo, p-cpe:/a:fermilab:scientific_linux:libxvmc-devel, p-cpe:/a:fermilab:scientific_linux:libxxf86dga, p-cpe:/a:fermilab:scientific_linux:libxxf86dga-debuginfo, p-cpe:/a:fermilab:scientific_linux:libxxf86dga-devel, p-cpe:/a:fermilab:scientific_linux:libxxf86vm, p-cpe:/a:fermilab:scientific_linux:libxxf86vm-debuginfo, p-cpe:/a:fermilab:scientific_linux:libxxf86vm-devel, p-cpe:/a:fermilab:scientific_linux:libdmx, p-cpe:/a:fermilab:scientific_linux:libdmx-debuginfo, p-cpe:/a:fermilab:scientific_linux:libdmx-devel, p-cpe:/a:fermilab:scientific_linux:libxcb, p-cpe:/a:fermilab:scientific_linux:libxcb-debuginfo, p-cpe:/a:fermilab:scientific_linux:libxcb-devel, p-cpe:/a:fermilab:scientific_linux:libxcb-doc, p-cpe:/a:fermilab:scientific_linux:libxcb-python, p-cpe:/a:fermilab:scientific_linux:xcb-proto, p-cpe:/a:fermilab:scientific_linux:xkeyboard-config, p-cpe:/a:fermilab:scientific_linux:xkeyboard-config-devel, p-cpe:/a:fermilab:scientific_linux:xorg-x11-proto-devel, p-cpe:/a:fermilab:scientific_linux:xorg-x11-xtrans-devel, x-cpe:/o:fermilab:scientific_linux

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

パッチ公開日: 2014/10/14

脆弱性公開日: 2013/6/15

参照情報

CVE: CVE-2013-1981, CVE-2013-1982, CVE-2013-1983, CVE-2013-1984, CVE-2013-1985, CVE-2013-1986, CVE-2013-1987, CVE-2013-1988, CVE-2013-1989, CVE-2013-1990, CVE-2013-1991, CVE-2013-1995, CVE-2013-1997, CVE-2013-1998, CVE-2013-1999, CVE-2013-2000, CVE-2013-2001, CVE-2013-2002, CVE-2013-2003, CVE-2013-2004, CVE-2013-2005, CVE-2013-2062, CVE-2013-2064, CVE-2013-2066