検出

Oracle Linux 7:GNOME / Shell(ELSA-2015-0535)

high Nessus プラグイン ID 81807

Language:

概要

リモート Oracle Linux ホストに、1 つ以上のセキュリティ更新がありません。

説明

Red Hat セキュリティアドバイザリ 2015:0535 から:

1 つのセキュリティの問題といくつかのバグを修正し、1 つの拡張機能を追加する更新済みの gnome-shell、mutter、clutter、cogl のパッケージが、Red Hat Enterprise Linux 7 で現在利用可能です。

Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度低として評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。

GNOME シェルおよびそれが依存するパッケージは、ウインドウ間の移動やアプリケーションの起動などの機能を含む Red Hat Enterprise Linux デスクトップのコアユーザーインターフェイスを提供します。

スクリーンをロックしたときに、GNOME シェルが Print Screen キーを無効にしないことが判明しました。これにより、スクリーンがロックされたシステムに物理的にアクセスできる攻撃者が、多量のスクリーンショットを作成することにより、スクリーンロックアプリケーションをクラッシュさせる可能があります。(CVE-2014-7300)

この更新は以下のバグも修正します:

* Timed Login 機能は、指定された時間後に指定されたユーザーを自動的にログインさせますが、GUI の最初のユーザーがログアウトした後、動作を停止していました。これが修正され、他に誰もログインしないなら、指定されたユーザーが常にログインできるようになっています(BZ#1043571)

* 2 台のモニターが縦に配置されており、第 2 モニターが第 1 モニターの上にある場合、ウィンドウを第 2 モニターに移動することができませんでした。この更新で、ウインドウが第 1 のモニターの上端を超えて、第 2 のモニターに移動できるようになります。(BZ#1075240)

* Gnome Display Manager(GDM)のユーザー一覧が無効にされており、ユーザーがユーザー名を入力する場合、パスワードのプロンプトが表示されませんでした。代わりに、ユーザーはもう一度ユーザー名を入力する必要がありました。このエラーを含んでいた GDM コードが修正され、ユーザーは期待通り自らのユーザー名とパスワードを入力できるようになりました。(BZ#1109530)

* この更新以前は、カスタムのテキストバナーには、GDM ログイン画面のわずかな部分だけが使用可能でした。結果として、長いバナーを使用する場合は、そのエリアに収まらず、バナーを読む人はテキスト全体を表示できるよう、スクロールバーを使用する必要がありました。この更新により、必要に応じてより多くのスペースがバナーのために使用され、ユーザーはメッセージを楽に読むことができます。(BZ#1110036)

* LDAP ユーザー名およびパスワードの承認中に [キャンセル] ボタンが押された場合、GDM コードがこの状況を正しく処理できませんでした。結果として、GDM が反応しなくなり、ログイン画面に戻ることができなくなっていました。影響を受けたコードが修正され、LDAP ユーザー検証をキャンセルでき、代わりに他のユーザーがログインできるようになっています。(BZ#1137041)

* GNOME のウインドウフォーカスモードが「mouse」または「sloppy」に設定されている場合、親ウインドウの外側に表示されるポップアップメニューのエリアを移動すると、ウインドウがそのフォーカスを失っていました。結果として、メニューが使用できなくなっていました。これが修正され、ウインドウフォーカスがこのシナリオで維持されるようになっています。(BZ#1149585)

* ユーザー認証の設定でログインするためにスマートカードが必要な場合は、ユーザー名はそのスマートカードから取得されます。スマートカードの PIN を入力することで、認証が実行されます。この更新以前は、スマートカードが挿入されていなくても、ログイン画面でユーザー名を入力できましたが、下層にあるコードのバグが原因で、画面が反応しなくなっていました。一方で、スマートカードが認証のために使用され、ユーザーは認証が完了したらすぐにログインできました。結果として、GNOME Classic 以外のセッションを選択できなくなっていました。これらの問題は両方とも修正されています。今では、このタイプの認証が有効になっている場合はスマートカードが必要であり、他のセッションがインストールされている場合は、それをユーザーが選択することができます。
(BZ#1159385、BZ#1163474)

また、この更新は以下の拡張機能も追加します:

* クアドバッファ OpenGL ステレオビジュアルのサポートが追加されています。結果として、クアドバッファステレオを使用する OpenGL アプリケーションを実行できるようになり、必要な機能のあるビデオドライバーおよびハードウェアを使用するとき、 GNOME デスクトップ内で正しく表示されます。(BZ#861507、BZ#1108890、BZ#1108891、BZ# 1108893)

GNOME Shell の全ユーザーには、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、これらの問題を修正し、この拡張機能を追加することが推奨されます。

ソリューション

影響を受ける gnome および/または shell のパッケージを更新してください。

参考資料

https://oss.oracle.com/pipermail/el-errata/2015-March/004881.html

プラグインの詳細

深刻度: High

ID: 81807

ファイル名: oraclelinux_ELSA-2015-0535.nasl

バージョン: 1.9

タイプ: local

エージェント: unix

公開日: 2015/3/13

更新日: 2021/1/14

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 7.2

現状値: 5.3

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:oracle:linux:clutter, p-cpe:/a:oracle:linux:clutter-devel, p-cpe:/a:oracle:linux:clutter-doc, p-cpe:/a:oracle:linux:cogl, p-cpe:/a:oracle:linux:cogl-devel, p-cpe:/a:oracle:linux:cogl-doc, p-cpe:/a:oracle:linux:gnome-shell, p-cpe:/a:oracle:linux:gnome-shell-browser-plugin, p-cpe:/a:oracle:linux:mutter, p-cpe:/a:oracle:linux:mutter-devel, cpe:/o:oracle:linux:7

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2015/3/12

脆弱性公開日: 2014/12/25

参照情報

CVE: CVE-2014-7300

BID: 70178

RHSA: 2015:0535