検出

Scientific Linux セキュリティ更新:SL7.x x86_64 の GNOME シェル

high Nessus プラグイン ID 82249

Language:

概要

リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

スクリーンをロックしたときに、GNOME シェルが Print Screen キーを無効にしないことが判明しました。これにより、スクリーンがロックされたシステムに物理的にアクセスできる攻撃者が、多量のスクリーンショットを作成することにより、スクリーンロックアプリケーションをクラッシュさせる可能があります。(CVE-2014-7300)

この更新は以下のバグも修正します:

- Timed Login 機能は、指定された時間後に指定されたユーザーを自動的にログインさせますが、GUI の最初のユーザーがログアウトした後、動作が停止しました。これが修正され、他にログインするユーザーがいない場合は、指定されたユーザーが常にログインするようになりました。

- 2 台のモニターが縦に配置されており、第 2 モニターが第 1 モニターの上にある場合、ウィンドウを第 2 モニターに移動できませんでした。
 この更新で、ウインドウが第 1 のモニターの上端を超えて、第 2 のモニターに移動できるようになります。

- Gnome Display Manager(GDM)のユーザーリストが無効な状態でユーザーがユーザー名を入力すると、パスワードプロンプトが表示されませんでした。代わりに、ユーザーはもう一度ユーザー名を入力する必要がありました。このエラーを含んでいた GDM コードが修正され、ユーザーは期待通り自らのユーザー名とパスワードを入力できるようになりました。

- この更新以前は、カスタムのテキストバナーに対し、GDM ログイン画面のわずかな部分のみが使用可能でした。結果として、長いバナーを使用する場合は、そのエリアに収まらず、バナーを読む人はテキスト全体を表示できるよう、スクロールバーを使用する必要がありました。この更新により、必要に応じてより多くのスペースがバナーのために使用され、ユーザーはメッセージを楽に読むことができます。

- LDAP ユーザー名およびパスワードの承認中に [キャンセル] ボタンが押された場合、GDM コードがこの状況を正しく処理しませんでした。結果として、GDM が反応しなくなり、ログイン画面に戻ることができなくなっていました。影響を受けたコードが修正され、LDAP ユーザー検証をキャンセルでき、代わりに他のユーザーがログインできるようになっています。

- GNOME のウインドウフォーカスモードが「mouse」または「sloppy」に設定されている場合、親ウインドウの外側に表示されるポップアップメニューのエリアをナビゲートすると、ウインドウがそのフォーカスを失っていました。結果として、メニューが使用できなくなっていました。
 これが修正され、ウインドウフォーカスがこのシナリオで維持されるようになっています。

- ログインにスマートカードを使用するようにユーザー認証を構成した場合、ユーザー名はスマートカードから取得されます。スマートカードの PIN を入力することで、認証が実行されます。この更新以前は、スマートカードが挿入されていなくても、ログイン画面でユーザー名を入力できましたが、下層にあるコードのバグが原因で、画面が反応しなくなっていました。一方で、スマートカードが認証のために使用され、ユーザーは認証が完了したらすぐにログインできました。結果として、GNOME Classic 以外のセッションを選択できなくなっていました。これらの問題は両方とも修正されています。今では、このタイプの認証が有効になっている場合はスマートカードが必要であり、他のセッションがインストールされている場合は、それをユーザーが選択することができます。

また、この更新は以下の拡張機能も追加します:

- クアドバッファ OpenGL ステレオビジュアルのサポートが追加されました。結果として、クアドバッファステレオを使用する OpenGL アプリケーションを実行できるようになり、必要な機能のあるビデオドライバーおよびハードウェアを使用するとき、 GNOME デスクトップ内で正しく表示されます。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?b9c668c4

プラグインの詳細

深刻度: High

ID: 82249

ファイル名: sl_20150305_GNOME_Shell_on_SL7_x.nasl

バージョン: 1.5

タイプ: local

エージェント: unix

公開日: 2015/3/26

更新日: 2021/1/14

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 7.2

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:fermilab:scientific_linux:clutter, p-cpe:/a:fermilab:scientific_linux:clutter-debuginfo, p-cpe:/a:fermilab:scientific_linux:clutter-devel, p-cpe:/a:fermilab:scientific_linux:clutter-doc, p-cpe:/a:fermilab:scientific_linux:cogl, p-cpe:/a:fermilab:scientific_linux:cogl-debuginfo, p-cpe:/a:fermilab:scientific_linux:cogl-devel, p-cpe:/a:fermilab:scientific_linux:cogl-doc, p-cpe:/a:fermilab:scientific_linux:gnome-shell, p-cpe:/a:fermilab:scientific_linux:gnome-shell-browser-plugin, p-cpe:/a:fermilab:scientific_linux:gnome-shell-debuginfo, p-cpe:/a:fermilab:scientific_linux:mutter, p-cpe:/a:fermilab:scientific_linux:mutter-debuginfo, p-cpe:/a:fermilab:scientific_linux:mutter-devel, x-cpe:/o:fermilab:scientific_linux

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

パッチ公開日: 2015/3/5

脆弱性公開日: 2014/12/25

参照情報

CVE: CVE-2014-7300