CentOS 6:libX11 / libXcursor / libXext / libXfixes / libXi / libXinerama / libXp / libXrandr / etc(CESA-2014:1436)
medium Nessus プラグイン ID 79182
Language:
概要
リモート CentOS ホストに1つ以上のセキュリティ更新がありません。説明
複数のセキュリティの問題といくつかのバグを修正し、さまざまな強化機能を追加した更新済みX11クライアントライブラリパッケージが、 Red Hat Enterprise Linux 6 で現在利用可能です。Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中として評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System (CVSS)のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。
X11(Xorg)ライブラリは、ライブラリルーチンを提供するもので、すべての X Window アプリケーション内で使用されます。
各種 X11 クライアントライブラリが特定のプロトコルデータを処理する場合の方法に、ヒープベースのバッファオーバーフローにつながる整数オーバーフローの欠陥が複数見つかりました。無効なプロトコルデータを、悪意のある X11 クライアントを介して X11 サーバーに送信できる攻撃者は、これらの欠陥のいずれかを利用して、システムにおける権限を昇格させる可能性があります。
(CVE-2013-1981、CVE-2013-1982、 CVE-2013-1983、CVE-2013-1984、CVE-2013-1985、 CVE-2013-1986、CVE-2013-1987、CVE-2013-1988、 CVE-2013-1989、CVE-2013-1990、CVE-2013-1991、 CVE-2013-2003、CVE-2013-2062、CVE-2013-2064)
各種 X11 クライアントライブラリが、X11 サーバーから返されたデータを処理する場合の方法に、ヒープベースのバッファ領域外書き込みの欠陥につながる配列インデックスのエラーが複数見つかりました。悪意のある X11 サーバーが、この欠陥を利用して、X11 クライアントを実行するユーザーの権限で任意のコードを実行する可能性があります。(CVE-2013-1997、CVE-2013-1998、CVE-2013-1999、CVE-2013-2000、CVE-2013-2001、CVE-2013-2002、CVE-2013-2066)
X.Org X11 の libXi ランタイムライブラリの XListInputDevices() 関数が、符号付き数字を処理する場合の方法に、バッファオーバーフローの欠陥が見つかりました。
悪意のある X11 サーバーが、この欠陥を利用して、X11 クライアントを実行するユーザーの権限で任意のコードを実行する可能性があります。
(CVE-2013-1995)
X.Org X11 libXt ランタイムライブラリが、初期化されていないポインターを使用する場合の方法に欠陥が見つかりました。悪意のある X11 サーバーが、この欠陥を利用して、X11 クライアントを実行するユーザーの権限で任意のコードを実行する可能性があります。(CVE-2013-2005)
libX11(Core X11 プロトコルクライアントライブラリ)が、ユーザー指定の特定のファイルを処理する場合の方法に、スタックベースのバッファオーバーフローの欠陥が 2 つありました。悪意のある X11 サーバーが、この欠陥を利用して、特別に細工されたファイルで X11 クライアントをクラッシュさせる可能性があります。(CVE-2013-2004)
xkeyboard-config パッケージは、upstream バージョン 2.11 にアップグレードされて、以前のバージョンの多数のバグ修正と拡張機能を提供しています。(BZ#1077471)
この更新は以下のバグも修正します:
* これまでは、mesa-libGL パッケージを更新しても libX11 パッケージは更新されませんでした(mesa-libGL との依存関係は示されていました)。
このバグが修正され、mesa-libGL を更新すれば、すべての依存パッケージが予期したとおりに更新されるようになりました。(BZ#1054614)
* これまでは、カスタマーアプリケーションを閉じると、X Server が予期せず終了することが時々ありました。この更新後は、ユーザーがカスタマーアプリケーションを閉じても、X Server がハングすることがなくなりました。
(BZ#971626)
X11 の全クライアントライブラリユーザーは、これらの更新済みパッケージにアップグレードし、これらの問題を修正し、これらの拡張機能を追加することが推奨されます。
ソリューション
影響を受けるパッケージを更新してください。参考資料
http://www.nessus.org/u?3b79cc02
http://www.nessus.org/u?01c3d512
http://www.nessus.org/u?20d1cc19
http://www.nessus.org/u?de1e7678
http://www.nessus.org/u?4c5e9be1
http://www.nessus.org/u?7db4ea17
http://www.nessus.org/u?cc226c84
http://www.nessus.org/u?2db4cd33
http://www.nessus.org/u?8d22dfbb
http://www.nessus.org/u?501edd75
http://www.nessus.org/u?ed66b158
http://www.nessus.org/u?08882ff6
http://www.nessus.org/u?d4e0bef2
http://www.nessus.org/u?366095e8
http://www.nessus.org/u?405b97cb
http://www.nessus.org/u?b76f6a57
http://www.nessus.org/u?02385819
http://www.nessus.org/u?cb5d4eea
http://www.nessus.org/u?d465ad21
http://www.nessus.org/u?d752e61c
プラグインの詳細
深刻度: Medium
ID: 79182
ファイル名: centos_RHSA-2014-1436.nasl
バージョン: 1.17
タイプ: local
エージェント: unix
ファミリー: CentOS Local Security Checks
公開日: 2014/11/12
更新日: 2021/1/4
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Medium
基本値: 6.8
現状値: 5
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2013-1981
脆弱性情報
CPE: p-cpe:/a:centos:centos:libx11, p-cpe:/a:centos:centos:libx11-common, p-cpe:/a:centos:centos:libx11-devel, p-cpe:/a:centos:centos:libxcursor, p-cpe:/a:centos:centos:libxcursor-devel, p-cpe:/a:centos:centos:libxext, p-cpe:/a:centos:centos:libxext-devel, p-cpe:/a:centos:centos:libxfixes, p-cpe:/a:centos:centos:libxfixes-devel, p-cpe:/a:centos:centos:libxi, p-cpe:/a:centos:centos:libxi-devel, p-cpe:/a:centos:centos:libxinerama, p-cpe:/a:centos:centos:libxinerama-devel, p-cpe:/a:centos:centos:libxp, p-cpe:/a:centos:centos:libxp-devel, p-cpe:/a:centos:centos:libxrandr, p-cpe:/a:centos:centos:libxrandr-devel, p-cpe:/a:centos:centos:libxrender, p-cpe:/a:centos:centos:libxrender-devel, p-cpe:/a:centos:centos:libxres, p-cpe:/a:centos:centos:libxres-devel, p-cpe:/a:centos:centos:libxt, p-cpe:/a:centos:centos:libxt-devel, p-cpe:/a:centos:centos:libxtst, p-cpe:/a:centos:centos:libxtst-devel, p-cpe:/a:centos:centos:libxv, p-cpe:/a:centos:centos:libxv-devel, p-cpe:/a:centos:centos:libxvmc, p-cpe:/a:centos:centos:libxvmc-devel, p-cpe:/a:centos:centos:libxxf86dga, p-cpe:/a:centos:centos:libxxf86dga-devel, p-cpe:/a:centos:centos:libxxf86vm, p-cpe:/a:centos:centos:libxxf86vm-devel, p-cpe:/a:centos:centos:libdmx, p-cpe:/a:centos:centos:libdmx-devel, p-cpe:/a:centos:centos:libxcb, p-cpe:/a:centos:centos:libxcb-devel, p-cpe:/a:centos:centos:libxcb-doc, p-cpe:/a:centos:centos:libxcb-python, p-cpe:/a:centos:centos:xcb-proto, p-cpe:/a:centos:centos:xkeyboard-config, p-cpe:/a:centos:centos:xkeyboard-config-devel, p-cpe:/a:centos:centos:xorg-x11-proto-devel, p-cpe:/a:centos:centos:xorg-x11-xtrans-devel, cpe:/o:centos:centos:6
必要な KB アイテム: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2014/10/20
脆弱性公開日: 2013/6/15
参照情報
CVE: CVE-2013-1981, CVE-2013-1982, CVE-2013-1983, CVE-2013-1984, CVE-2013-1985, CVE-2013-1986, CVE-2013-1987, CVE-2013-1988, CVE-2013-1989, CVE-2013-1990, CVE-2013-1991, CVE-2013-1992, CVE-2013-1995, CVE-2013-1997, CVE-2013-1998, CVE-2013-1999, CVE-2013-2000, CVE-2013-2001, CVE-2013-2002, CVE-2013-2003, CVE-2013-2004, CVE-2013-2005, CVE-2013-2062, CVE-2013-2063, CVE-2013-2064, CVE-2013-2066
BID: 60120, 60121, 60122, 60123, 60124, 60125, 60126, 60127, 60128, 60129, 60131, 60132, 60133, 60134, 60135, 60136, 60137, 60138, 60139, 60143, 60144, 60145, 60146, 60148
RHSA: 2014:1436