openSUSEセキュリティ更新プログラム:feh(openSUSE-2017-531)
critical Nessus プラグイン ID 99926
Language:
概要
リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。説明
このLeap 上でのfehのバージョンへの更新では、 42.1の問題が修正されます。- CVE-2017-7875:fehのWallwall.Cで、悪意のあるクライアントがE17ウィンドウマネージャーを装って、IPCメッセージの受信中に領域外ヒープ書き込みを発生させる可能性がありました。整数オーバーフローは、バッファオーバーフローおよび/または二重解放につながります(bsc#1034567)。
このLeap 42.2上でのfehのバージョン2.18.3への更新では、いくつかの問題が修正されます。
このセキュリティ問題はLeap 42.2上で修正されました:
- CVE-2017-7875:fehのWallwall.Cで、悪意のあるクライアントがE17ウィンドウマネージャーを装って、IPCメッセージの受信中に領域外ヒープ書き込みを発生させる可能性がありました。整数オーバーフローは、バッファオーバーフローおよび/または二重解放につながります(bsc#1034567)。
これらの非セキュリティ問題はLeap 42.2上で修正されました:
- boo#955576:jpegexiforientを追加しました
- サムネイルモードのウィンドウタイトルで、画像固有の書式指定子が正しく更新されない問題を修正しました
- サムネイルモードから開いた画像を閉じる際のメモリリークを修正しました
- 画像を長いパスに保存するために--outputを使用する際に、終端されていない文字列によって引き起こされる領域外読み取りの可能性を修正しました
- 空のまたは破損したキャプションファイルを処理するときの領域外読み取り/書き込みを修正しました。
- ターゲットファイル名がすでに存在するファイルリストまたは画像を保存するときのメモリリークを修正しました。
- 画像固有の書式指定子が正しく更新されない問題を修正しました
- 新しいキーバインディング:! - zoom_fill(ウィンドウ全体をズームで拡大する)では、画像の一部が切り捨てられる可能性があります
- デフォルトでEXIFベースの自動回転を無効にします
- --auto-rotateオプションを追加し、自動回転を有効にしました
- feh-makefile_app.patchを追加しました - アイコンのインストール場所を修正します
- 「make install app=1」を実行する際に、fehアイコン(48x48 SVGとスケーラブルSVGの両方)を/usr/share/iconsにインストールします
- --reloadと組み合わせて使用すると、最初のリロード後に優先されない--sortを修正しました
- すべてのキーアクションは、.config/feh/buttonsで指定することで、ボタンにバインドできるようになりました。ただし、ボタンアクションはキーにバインドできないことに注意してください。
- 「menu」キーアクションの名前を「toggle_menu」に、「prev」を「prev_img」に、「next」を「next_img」に変更します。古い名前は引き続きサポートされますが、文書化されなくなります。
- fehは、X11 _NET_WM_PIDとWM_CLIENT_MACHINEウィンドウプロパティも設定するようになりました
- HOST_NAME_MAXが定義されていないシステムでのコンパイルを修正しました
- libcurlまたはimagemagickを介してロードされた画像のインプレース編集もサポートします。この場合は、結果がディスクに書き戻されません。
- jpegtran/jpegexiforientをインストールせずにJPEG画像を回転させようとすると発生するクラッシュを修正しました
- 失敗しているfork()呼び出しを正常に処理します
- 無効なキー/ボタンの定義がキー/ボタンを他のアクションに誤って割り当てる問題を修正しました
- 名前ではなくディレクトリで画像をソートするために、ソートモード--sort dirnameを追加しました。
- 次/前のディレクトリの最初の画像にジャンプするためのナビゲーションキーのnext_dir(])とprev_dir([)を追加しました
- toggle_filenamesキーがマルチウィンドウモードで間違ったファイル番号を表示しにように修正しました
- ウィンドウのサイズ変更中で、--scale-downまたは
--geometryがアクティブになっているときに画像を再スケールします。
- --keep-zoom-vpがビューポートx/yオフセットを維持しないように修正しました
- --scale-downまたは --geometryがアクティブになっている場合はウィンドウサイズを更新しないw(size_to_image)キーを修正しました
- HTTPS証明書のチェックを無効にするための--insecureオプションを追加しました
- 再帰ディレクトリ拡張を無効にするための--no-recursiveオプションを追加しました。
- タイル環境での--scale-downを改善します。
- --actionと--action[1..9]がアクションタイトルをサポートするようになりました
- -f / --filelist:適切なファイルリストファイルが指定されている場合は、不要なエラーメッセージを出力しません
- -f / --filelist:kshと場合に応じてその他の環境で実行しているfehに影響を与える「-」/「/dev/stdin」処理のバグを修正します
- バックグラウンド設定用の--xinerama-indexオプションを追加します
- slipsehowモードで最後の画像を削除すると、最後の(以前は最後から2番目の)画像にとどまります
- --sortと--randomizeが、常に--sortを優先する代わりに、お互いをオーバーライドできるようにします(直近指定されたオプションが優先されます)
- サムネイルモード:画像をクリックすることによってアクション(--action)の実行時に画像を処理済みとしてマークします
- --xinerama-indexオプションを使用して、アクティブなxinerama画面のfehのアイデアをオーバーライドできるようになりました
- XINERAMA_SCREEN環境変数を設定することによってアクティブなxinerama画面のfehのアイデアをオーバーライドできる(文書化されていない)機能を削除しました
- 廃止されたgpgマクロを削除しました
ソリューション
影響を受けるfehパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 99926
ファイル名: openSUSE-2017-531.nasl
バージョン: 3.4
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2017/5/2
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 7.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS v3
リスクファクター: Critical
基本値: 9.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:feh, p-cpe:/a:novell:opensuse:feh-debuginfo, p-cpe:/a:novell:opensuse:feh-debugsource, cpe:/o:novell:opensuse:42.1, cpe:/o:novell:opensuse:42.2
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
パッチ公開日: 2017/5/1
参照情報
CVE: CVE-2017-7875