偵測

FreeBSD:xorg-server -- X 伺服器的 XkbSetGeometry 要求中發生資訊洩漏。(54a69cf7-b2ef-11e4-b1f1-bcaec565249c)

medium Nessus Plugin ID 81332

語系:

概要

遠端 FreeBSD 主機缺少一個或多個安全性相關更新。

說明

Peter Hutterer 報告:

Red Hat 的 Olivier Fourdan 在 X 伺服器程式碼基底處理 XkbSetGeometry 要求的方式中,發現一個通訊協定處理問題。

該問題是因信任用戶端在要求資料中傳送有效字串長度的伺服器所導致。字串長度超出要求長度的惡意用戶端可造成伺服器將相鄰記憶體資料複製到 XKB 結構中。然後此資料便可透過 XkbGetGeometry 要求供用戶端使用。資料長度至少高達 64k,可能藉由鏈結字串來取得更多資料,接著由該記憶體 16 位元區域中的任何內容決定各字串長度。

類似的特製要求可能會造成 X 伺服器當機。

解決方案

更新受影響的套件。

另請參閱

https://lists.freedesktop.org/archives/xorg/2015-February/057158.html

http://www.nessus.org/u?7fd55e61

Plugin 詳細資訊

嚴重性: Medium

ID: 81332

檔案名稱: freebsd_pkg_54a69cf7b2ef11e4b1f1bcaec565249c.nasl

版本: 1.6

類型: local

已發布: 2015/2/13

已更新: 2021/1/6

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.2

CVSS v2

風險因素: Medium

基本分數: 6.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:P

弱點資訊

CPE: p-cpe:/a:freebsd:freebsd:xorg-server, cpe:/o:freebsd:freebsd

必要的 KB 項目: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

修補程式發佈日期: 2015/2/12

弱點發布日期: 2015/2/10

參考資訊

CVE: CVE-2015-0255