Amazon Linux AMI:libX11 / libXcursor、libXfixes、libXi、libXrandr、libXrender、libXres、libXt、libXv、libXvMC、libXxf86dga、libXxf86vm、libdmx、xorg-x11-proto-devel(ALAS-2014-452)
medium Nessus プラグイン ID 79560
Language:
概要
リモート Amazon Linux AMI ホストに、セキュリティ更新がありません。説明
各種 X11 クライアントライブラリが特定のプロトコルデータを処理する場合の方法に、ヒープベースのバッファオーバーフローにつながる整数オーバーフローの欠陥が複数見つかりました。無効なプロトコルデータを、悪意のある X11 クライアントを介して X11 サーバーに送信できる攻撃者は、これらの欠陥のいずれかを利用して、システムにおける権限を昇格させる可能性があります。(CVE-2013-1981、CVE-2013-1982、CVE-2013-1983、CVE-2013-1984、CVE-2013-1985、CVE-2013-1986、CVE-2013-1987、CVE-2013-1988、CVE-2013-1989、CVE-2013-1990、CVE-2013-1991、CVE-2013-2003、CVE-2013-2062、CVE-2013-2064)
各種 X11 クライアントライブラリが、X11 サーバーから返されたデータを処理する場合の方法に、ヒープベースのバッファ領域外書き込みの欠陥につながる配列インデックスのエラーが複数見つかりました。悪意のある X11 サーバーが、この欠陥を利用して、X11 クライアントを実行するユーザーの権限で任意のコードを実行する可能性があります。(CVE-2013-1997 / CVE-2013-1998 / CVE-2013-1999 / CVE-2013-2000 / CVE-2013-2001 / CVE-2013-2002 / CVE-2013-2066)
X.Org X11 の libXi ランタイムライブラリの XListInputDevices() 関数が、符号付き数字を処理する場合の方法に、バッファオーバーフローの欠陥が見つかりました。
悪意のある X11 サーバーが、この欠陥を利用して、X11 クライアントを実行するユーザーの権限で任意のコードを実行する可能性があります。
(CVE-2013-1995)
X.Org X11 libXt ランタイムライブラリが、初期化されていないポインターを使用する場合の方法に欠陥が見つかりました。悪意のある X11 サーバーが、この欠陥を利用して、X11 クライアントを実行するユーザーの権限で任意のコードを実行する可能性があります。(CVE-2013-2005)
libX11(Core X11 プロトコルクライアントライブラリ)が、ユーザー指定の特定のファイルを処理する場合の方法に、スタックベースのバッファオーバーフローの欠陥が 2 つありました。悪意のある X11 サーバーが、この欠陥を利用して、特別に細工されたファイルで X11 クライアントをクラッシュさせる可能性があります。(CVE-2013-2004)
ソリューション
「yum update libX11 libXcursor libXfixes libXi libXrandr libXrender libXres libXt libXv libXvMC libXxf86dga libXxf86vm libdmx xorg-x11-proto-devel」を実行して、お使いのシステムを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 79560
ファイル名: ala_ALAS-2014-452.nasl
バージョン: 1.4
タイプ: local
エージェント: unix
公開日: 2014/11/26
更新日: 2019/7/10
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Medium
Base Score: 6.8
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: p-cpe:/a:amazon:linux:libx11, p-cpe:/a:amazon:linux:libx11-common, p-cpe:/a:amazon:linux:libx11-debuginfo, p-cpe:/a:amazon:linux:libx11-devel, p-cpe:/a:amazon:linux:libxcursor, p-cpe:/a:amazon:linux:libxcursor-debuginfo, p-cpe:/a:amazon:linux:libxcursor-devel, p-cpe:/a:amazon:linux:libxfixes, p-cpe:/a:amazon:linux:libxfixes-debuginfo, p-cpe:/a:amazon:linux:libxfixes-devel, p-cpe:/a:amazon:linux:libxi, p-cpe:/a:amazon:linux:libxi-debuginfo, p-cpe:/a:amazon:linux:libxi-devel, p-cpe:/a:amazon:linux:libxrandr, p-cpe:/a:amazon:linux:libxrandr-debuginfo, p-cpe:/a:amazon:linux:libxrandr-devel, p-cpe:/a:amazon:linux:libxrender, p-cpe:/a:amazon:linux:libxrender-debuginfo, p-cpe:/a:amazon:linux:libxrender-devel, p-cpe:/a:amazon:linux:libxres, p-cpe:/a:amazon:linux:libxres-debuginfo, p-cpe:/a:amazon:linux:libxres-devel, p-cpe:/a:amazon:linux:libxt, p-cpe:/a:amazon:linux:libxt-debuginfo, p-cpe:/a:amazon:linux:libxt-devel, p-cpe:/a:amazon:linux:libxv, p-cpe:/a:amazon:linux:libxv-debuginfo, p-cpe:/a:amazon:linux:libxv-devel, p-cpe:/a:amazon:linux:libxvmc, p-cpe:/a:amazon:linux:libxvmc-debuginfo, p-cpe:/a:amazon:linux:libxvmc-devel, p-cpe:/a:amazon:linux:libxxf86dga, p-cpe:/a:amazon:linux:libxxf86dga-debuginfo, p-cpe:/a:amazon:linux:libxxf86dga-devel, p-cpe:/a:amazon:linux:libxxf86vm, p-cpe:/a:amazon:linux:libxxf86vm-debuginfo, p-cpe:/a:amazon:linux:libxxf86vm-devel, p-cpe:/a:amazon:linux:libdmx, p-cpe:/a:amazon:linux:libdmx-debuginfo, p-cpe:/a:amazon:linux:libdmx-devel, p-cpe:/a:amazon:linux:xorg-x11-proto-devel, cpe:/o:amazon:linux
必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
パッチ公開日: 2014/11/24
脆弱性公開日: 2013/6/15
参照情報
CVE: CVE-2013-1981, CVE-2013-1982, CVE-2013-1983, CVE-2013-1984, CVE-2013-1985, CVE-2013-1986, CVE-2013-1987, CVE-2013-1988, CVE-2013-1989, CVE-2013-1990, CVE-2013-1991, CVE-2013-1995, CVE-2013-1997, CVE-2013-1998, CVE-2013-1999, CVE-2013-2000, CVE-2013-2001, CVE-2013-2002, CVE-2013-2003, CVE-2013-2004, CVE-2013-2005, CVE-2013-2062, CVE-2013-2064, CVE-2013-2066