Oracle Linux 5 : xorg-x11-server (ELSA-2012-0303)
high Nessus Plugin ID 68474
語言:
概要
遠端 Oracle Linux 主機缺少一個或多個安全性更新。說明
來自 Red Hat 安全性公告 2012:0303:現已提供適用於 Red Hat Enterprise Linux 5 的更新版 xorg-x11-server 套件,可修正一個安全性問題和多個不同的錯誤。
Red Hat 安全性回應團隊已將此更新評等為具有低安全性影響。可從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。
X.Org 是 X Window System 的開放原始碼實作。它提供基本的低階功能,用來支援完備的圖形使用者介面的設計。
在 X.Org 伺服器處理鎖定檔的方法中發現一個瑕疵。可以存取系統主控台的本機使用者可利用這個瑕疵,透過符號連結攻擊來判斷該使用者無法存取的目錄中是否存在某個檔案。(CVE-2011-4028)
Red Hat 要感謝暱稱為 vladz 的研究人員報告此問題。
此更新也可修正下列錯誤:
* 在極少數情況下,如果 miDbePositionWindow() 函式的前端與後端緩衝區都不是用視訊記憶體進行配置,或都是用系統記憶體進行配置,則 X Window System 有時會意外終止。這個問題已經由修補程式予以解決,因此上述狀況中的 X 伺服器不再發生當機問題。
(BZ#596899)
* 在先前的版本中,當 miSetShape() 函式以 NULL 區域呼叫 miRegionDestroy() 函式時,如果此時備份儲存區已經啟用,則 X 會意外終止。現在,上述案例提及的 X 不再出現當機狀況。(BZ#676270)
* 當特定工作站執行 32 位元模式時,X11 滑鼠游標在靠近 X11 畫面的左側邊緣時偶而會停滯。這個問題已經由修補程式予以解決,因此上述狀況中的滑鼠游標不再發生停滯。(BZ#529717)
* 當配備雙頭圖形介面卡的特定工作站使用 Zaphod 模式的 r500 驅動程式時,滑鼠指標會侷限在一個監控畫面上,無法移動到其他畫面。這個問題已經由修補程式予以解決,因此滑鼠游標能在兩個畫面之間正常運作。(BZ#559964)
* 當最近一次用戶端中斷連線,即伺服器重設時,Xvfb (X virtual framebuffer) 因重複釋放作業而在隨機分割錯誤的情況下意外終止。這個錯誤已經由 miDCCloseScreen() 函式方式修正,且 Xvfb 不再損毀。(BZ#674741)
* 在 AMD64 或 Intel 64 架構上以整合圖形介面卡啟動 Xephyr 伺服器,導致伺服器意外終止。此錯誤已經由程式碼方式修正,且在上述狀況中的 Xephyr 不再發生當機問題。(BZ#454409)
* 在先前的版本中,當用戶端發出的要求大於 BigRequestsEnable 回覆中所通告的四分之一限制時,X 伺服器意外關閉連線。透過此更新,程式碼中加入了檢查用戶端要求大小的 maxBigRequestSize 變數,修復了這個錯誤。(BZ#555000)
* 當在位元組由大到小之系統上執行的 X 用戶端呼叫 XineramaQueryScreens() 函式時,X 伺服器意外終止。
此錯誤已經由 xf86Xinerama 模組方式修正,且在上述狀況中的 X 伺服器不再發生當機問題。(BZ#588346)
* 當 Red Hat Enterprise Linux 5 安裝於 IBM eServer System p blade 伺服器上時,安裝程式未在內建 KVM (Keyboard-Video-Mouse) 上設定正確的模式。結果導致圖形安裝程式很長一段時間後才出現,而且顯示不正確。這個問題已經由修補程式予以解決,因此圖形安裝程式現在會依前述狀況期望正常運作。
請注意,此修正需要 Red Hat Enterprise Linux 5.8 核心更新。(BZ#740497)
* 對於長度超過 46,340 像素的直線,其中一個座標可為負值。但是如果為虛線,當設定虛線選擇區段的邊緣時,miPolyBuildPoly() 函式會造成「int」型別溢位。結果導致虛線區段完全未繪製。這個問題已經套用上游修補程式獲得解決,虛線現在繪製正確。(BZ#649810)
建議所有 xorg-x11-server 使用者皆升級至這些更新版套件,其可更正這些問題。所有執行中的 X.Org 伺服器執行個體都必須重新啟動,此更新才會生效。
解決方案
更新受影響的 xorg-x11-server 套件。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 68474
檔案名稱: oraclelinux_ELSA-2012-0303.nasl
版本: 1.12
類型: local
代理程式: unix
已發布: 2013/7/12
已更新: 2024/10/22
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus
風險資訊
VPR
風險因素: Low
分數: 3.6
CVSS v2
風險因素: Low
基本分數: 1.2
時間性分數: 0.9
媒介: CVSS2#AV:L/AC:H/Au:N/C:P/I:N/A:N
CVSS 評分資料來源: CVE-2011-4028
CVSS v3
風險因素: High
基本分數: 7.5
時間性分數: 6.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:oracle:linux:xorg-x11-server-xvfb, cpe:/o:oracle:linux:5, p-cpe:/a:oracle:linux:xorg-x11-server-xdmx, p-cpe:/a:oracle:linux:xorg-x11-server-sdk, p-cpe:/a:oracle:linux:xorg-x11-server-xvnc-source, p-cpe:/a:oracle:linux:xorg-x11-server-xephyr, p-cpe:/a:oracle:linux:xorg-x11-server-xorg, p-cpe:/a:oracle:linux:xorg-x11-server-xnest
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2012/3/7
弱點發布日期: 2012/7/3
參考資訊
CVE: CVE-2011-4028
BID: 50193
RHSA: 2012:0303