偵測

Fedora 20:x2goserver-4.0.1.10-1.fc20 (2014-0202)

high Nessus Plugin ID 71922

語系:

概要

遠端 Fedora 主機遺漏安全性更新。

說明

此版本納入了 Baikal LTS 4.0.0.8 版引入的所有變更,包括 x2gocleansessions 中的嚴重弱點。x2goserver 的 LTS 4.0.0.8 版新增內容為:

o 改善 NX session.log 檔案的剖析。修正部分情況下工作階段暫停/繼續失敗的情形。o 修正 x2gocleansessions 中的嚴重弱點。o 系統將工作階段 ID 字串、連接埠號碼、顯示號碼和代理程式 PID 號碼寫入為工作階段 DB 的字串前,先清理這些項目。

注意:此版本可修正 X2Go Server 中的一個嚴重弱點,該弱點允許具有使用者權限的攻擊者取得 X2Go Server 伺服器的 root 存取權。請升級 X2Go Server 安裝項目。

x2goserver 4.0.1.10 版本的新增內容為:

o 修正 4.0.1.9 中中斷的 x2goresume-session。 o 提供 x2goserver-fmbindings o 允許啟用/停用 x2goagent 的 TCP 接聽功能。

- 暫時停用 Xsession 支援 - 專門針對 Debian (錯誤 #1038834)

4.0.1.9 的更新 - 合併來自 4.0.0.7 LTS 錯誤修正版本的變更。

- 中斷錯誤的鍵盤修補程式 - 使用 mktemp 而非 tempfile

- 修正 Xsession.d 連結建立

- 新增修補程式以修正鍵盤設定 (錯誤 #1033876)

更新至 4.0.1.8:

- 修正繼續執行工作階段時的調整大小程序。

- 修正繼續執行工作階段時的自動鍵盤設定程序 (透過 x2gosetkeyboard)。(修正:#285)。

- 提供 sudoers.d/x2goserver 檔案,該檔案允許 KDE 底下的 sudoed 命令 (利用相關的環境變數 QT_GRAPHICSSYSTEM)。(修正:#276)。

- 若以 PostgreSQL 作為工作階段 db 後端,會阻止 root 使用者啟動工作階段。而且也會阻止系統將 x2gouser_root 新增為 PostgreSQL 使用者。
 (修正:#310)。

- 暫停/終止期間盡可能延遲執行 DB 狀態變更。

- 在沒有幾何參數的狀態下開始/繼續無 root 工作階段。尤其,針對無 root 工作階段使用 X2GO_GEOMETRY=fullscreen 時,會導致產生額外的 1x1 像素工作階段視窗 (nxagent 的 Window.c 中之 nxagentCreateIconWindow)。

- x2goruncommand (用於 MATE 工作階段啟動) 中的錯字修正。

- 讓透過 SSHFS 掛載用戶端資料夾時使用的 umask 可在 x2goserver.conf 中設定。
 (修正:#331)。

- 使用 bash-builtin ‘type’而非避開 'which'。(修正:#305)。

- 暫時停用 Xsession 支援 - 專門針對 Debian (錯誤 #1038834)

4.0.1.9 的更新 - 合併來自 4.0.0.7 LTS 錯誤修正版本的變更。

- 中斷錯誤的鍵盤修補程式

- 使用 mktemp 而非 tempfile

- 修正 Xsession.d 連結建立

- 新增修補程式以修正鍵盤設定 (錯誤 #1033876)

更新至 4.0.1.8:

- 修正繼續執行工作階段時的調整大小程序。

- 修正繼續執行工作階段時的自動鍵盤設定程序 (透過 x2gosetkeyboard)。(修正:#285)。

- 提供 sudoers.d/x2goserver 檔案,該檔案允許 KDE 底下的 sudoed 命令 (利用相關的環境變數 QT_GRAPHICSSYSTEM)。(修正:#276)。

- 若以 PostgreSQL 作為工作階段 db 後端,會阻止 root 使用者啟動工作階段。而且也會阻止系統將 x2gouser_root 新增為 PostgreSQL 使用者。
 (修正:#310)。

- 暫停/終止期間盡可能延遲執行 DB 狀態變更。

- 在沒有幾何參數的狀態下開始/繼續無 root 工作階段。尤其,針對無 root 工作階段使用 X2GO_GEOMETRY=fullscreen 時,會導致產生額外的 1x1 像素工作階段視窗 (nxagent 的 Window.c 中之 nxagentCreateIconWindow)。

- x2goruncommand (用於 MATE 工作階段啟動) 中的錯字修正。

- 讓透過 SSHFS 掛載用戶端資料夾時使用的 umask 可在 x2goserver.conf 中設定。
 (修正:#331)。

- 使用 bash-builtin ‘type’而非避開 'which'。(修正:#305)。

請注意,Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。

解決方案

更新受影響的 x2goserver 套件。

另請參閱

https://bugzilla.redhat.com/show_bug.cgi?id=1038834

http://www.nessus.org/u?3a1b7152

Plugin 詳細資訊

嚴重性: High

ID: 71922

檔案名稱: fedora_2014-0202.nasl

版本: 1.5

類型: local

代理程式: unix

已發布: 2014/1/13

已更新: 2021/1/11

支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

弱點資訊

CPE: p-cpe:/a:fedoraproject:fedora:x2goserver, cpe:/o:fedoraproject:fedora:20

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

修補程式發佈日期: 2014/1/4

弱點發布日期: 2014/1/4

參考資訊

FEDORA: 2014-0202