偵測

Oracle Linux 6 : xorg-x11-server (ELSA-2013-1620)

low Nessus Plugin ID 71130

語系:

概要

遠端 Oracle Linux 主機缺少一個或多個安全性更新。

說明

來自 Red Hat 安全性公告 2013:1620:

現已提供適用於 Red Hat Enterprise Linux 6 的更新版 xorg-x11-server 套件,可修正一個安全性問題和多個錯誤。

Red Hat 安全性回應團隊已將此更新評等為具有低安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。

X.Org 是 X Window System 的開放原始碼實作。它提供基本的低階功能,用來支援完備的圖形使用者介面的設計。

在 X.org X11 伺服器註冊新熱插拔裝置的方式中發現一個瑕疵。如果本機使用者切換至其他工作階段並插入新的裝置,來自該裝置的輸入就可在前一個工作階段中使用,這可能造成資訊洩漏。
(CVE-2013-1940)

此問題的發現為 Red Hat 的 David Airlie 與 Peter Hutterer。

此更新也可修正下列錯誤:

* 前版上游修補程式將 Xephyr X 伺服器修改為可調整大小,不過未預設為啟用調整大小功能。因此,X 沙箱在 Red Hat Enterprise Linux 6.4 和更新版本中不可調整大小。此更新會預設啟用調整大小功能,所以 X 沙箱現在可以如預期調整大小。(BZ#915202)

* 在 Red Hat Enterprise Linux 6 中,X 安全性延伸模組 (XC-SECURITY) 已停用,並以 X 存取控制延伸模組 (XACE) 取代。然而,XACE 尚未納入前版 XC-SECURITY 中可用的功能。透過此更新,啟用了 Red Hat Enterprise Linux 6 上 xorg-x11-server 規格檔案中的 XC-SECURITY。(BZ#957298)

* 延伸模組初始化的上游程式碼變更,意外停用了 Xvfb (X 虛擬框架緩衝區) 中的 GLX 延伸模組,導致無周邊 3D 應用程式沒有作用。此問題的上游修補程式已反向移植,因此再度啟用了 GLX 延伸模組,且依賴此延伸模組的應用程式可如預期運作。
(BZ#969538)

建議所有 xorg-x11-server 使用者皆升級至這些更新版套件,其中包含可更正這些問題的反向移植修補程式。

解決方案

更新受影響的 xorg-x11-server 套件。

另請參閱

https://oss.oracle.com/pipermail/el-errata/2013-November/003821.html

Plugin 詳細資訊

嚴重性: Low

ID: 71130

檔案名稱: oraclelinux_ELSA-2013-1620.nasl

版本: 1.7

類型: local

代理程式: unix

已發布: 2013/11/29

已更新: 2021/1/14

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.2

CVSS v2

風險因素: Low

基本分數: 2.1

時間分數: 1.6

媒介: CVSS2#AV:L/AC:L/Au:N/C:P/I:N/A:N

弱點資訊

CPE: p-cpe:/a:oracle:linux:xorg-x11-server-xdmx, p-cpe:/a:oracle:linux:xorg-x11-server-xephyr, p-cpe:/a:oracle:linux:xorg-x11-server-xnest, p-cpe:/a:oracle:linux:xorg-x11-server-xorg, p-cpe:/a:oracle:linux:xorg-x11-server-xvfb, p-cpe:/a:oracle:linux:xorg-x11-server-common, p-cpe:/a:oracle:linux:xorg-x11-server-devel, p-cpe:/a:oracle:linux:xorg-x11-server-source, cpe:/o:oracle:linux:6

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2013/11/27

弱點發布日期: 2013/5/13

參考資訊

CVE: CVE-2013-1940

BID: 59282, 62892

RHSA: 2013:1620