CentOS 7:clutter / cogl / gnome-shell / mutter (CESA-2015:0535)

high Nessus Plugin ID 81898

概要

遠端 CentOS 主機缺少一個或多個安全性更新。

說明

現已提供適用於 Red Hat Enterprise Linux 7 的更新版 gnome-shell、mutter、clutter 和 cogl 套件,可修正一個安全性問題、數個錯誤,並新增一個增強功能。

Red Hat 產品安全性團隊已將此更新評等為具有低安全性影響。可從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。

GNOME Shell 及其相依的套件提供 Red Hat Enterprise Linux 桌面的核心使用者介面,其中包括視窗瀏覽和啟動應用程式等功能。

據發現,GNOME Shell 在畫面鎖定時,未停用 Print Screen 鍵。這可能讓可實際存取畫面鎖定系統的攻擊者,建立大量的螢幕截圖,藉此使畫面鎖定應用程式損毀。(CVE-2014-7300)

此更新也可修正下列錯誤:

* 可在特定期間後自動登入至指定使用者的 [定時登入] 功能,在 GUI 的第一個使用者登出後就會停止運作。此問題已經修正,若無其他使用者登入,指定的使用者便會保持登入狀態。(BZ#1043571)

* 若兩個監視器是垂直擺放,且次要監視器在主要監視器之上,則無法將視窗移到次要監視器之上。透過此更新,視窗可以越過主要監視器的上緣,移到次要監視器上。(BZ#1075240)

* 如果 Gnome Display Manager (GDM) 使用者清單停用而使用者輸入使用者名稱,系統不會出現密碼提示。使用者反而必須再輸入一次使用者名稱。內含此錯誤的 GDM 程式碼已經修正,使用者現可如預期輸入其使用者名稱和密碼。(BZ#1109530)

* 在此更新之前,GDM 登入畫面中只有一小部分可用於自訂文字標題。因此,使用的長標題無法適用於區域,使得閱讀標題的使用者必須使用捲軸後,才能檢視完整的文字。透過此更新,標題可以使用更多的空間 (若需要),讓使用者可以方便地閱讀訊息。(BZ#1110036)

* 在 LDAP 使用者名稱和密碼驗證期間按下 [取消] 按鈕時,GDM 程式碼未正確處理該情況。因此,GDM 會變得沒有回應而無法返回登入畫面。受影響的程式碼已經修正,LDAP 使用者驗證現可取消,轉而允許其他使用者登入。(BZ#1137041)

* 若 GNOME 中的視窗焦點模式設為「mouse」或「sloppy」,則在父視窗外的快顯功能表區域瀏覽時,會造成該視窗失去焦點。因此,功能表會變得無法使用。此問題已經修正,在此狀況下能夠保留視窗焦點。(BZ#1149585)

* 若使用者驗證設為登入時需要智慧卡,系統會從該智慧卡取得使用者名稱。因此,進入智慧卡 PIN 時會執行驗證。在此更新之前,如果沒有插入任何智慧卡,登入畫面會允許輸入使用者名稱,但由於基礎程式碼中出現一個錯誤,螢幕會變得沒有回應。另一方面,如果將智慧卡用於驗證,則系統會在驗證完成時立即讓使用者登入。因此,可以選擇 GNOME Classic 之外的工作階段。這兩個問題皆已修正。現在,當啟用此類驗證時會需要智慧卡,且使用者可以選取任何其他安裝的工作階段。
(BZ#1159385、BZ#1163474)

此外,此更新還新增了下列增強功能:

* 新增四元組緩衝區 OpenGL 立體視覺的支援。因此,當與具有必要功能的視訊驅動程式和硬體配合時,使用四元組緩衝區立體的 OpenGL 應用程式可以在 GNOME 桌面中執行並正確顯示。(BZ#861507、BZ#1108890、BZ#1108891、BZ# 1108893)

建議所有 GNOME Shell 使用者皆升級至這些更新版套件,其中包含可更正這些問題的反向移植修補程式,並且新增了此增強功能。

解決方案

更新受影響的套件。

另請參閱

http://www.nessus.org/u?11b88873

http://www.nessus.org/u?89115c85

http://www.nessus.org/u?d5b78c63

http://www.nessus.org/u?8565fa4e

Plugin 詳細資訊

嚴重性: High

ID: 81898

檔案名稱: centos_RHSA-2015-0535.nasl

版本: 1.7

類型: local

代理程式: unix

已發布: 2015/3/18

已更新: 2021/1/4

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 7.2

媒介: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2014-7300

弱點資訊

CPE: p-cpe:/a:centos:centos:clutter, p-cpe:/a:centos:centos:clutter-devel, p-cpe:/a:centos:centos:clutter-doc, p-cpe:/a:centos:centos:cogl, p-cpe:/a:centos:centos:cogl-devel, p-cpe:/a:centos:centos:cogl-doc, p-cpe:/a:centos:centos:gnome-shell, p-cpe:/a:centos:centos:gnome-shell-browser-plugin, p-cpe:/a:centos:centos:mutter, p-cpe:/a:centos:centos:mutter-devel, cpe:/o:centos:centos:7

必要的 KB 項目: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list

修補程式發佈日期: 2015/3/17

弱點發布日期: 2014/12/25

參考資訊

CVE: CVE-2014-7300

RHSA: 2015:0535