偵測

openSUSE 安全性更新:librsvg (openSUSE-2016-608)

high Nessus Plugin ID 91278

語系:

概要

遠端 openSUSE 主機缺少安全性更新。

說明

此 2.40.15 版的 librsvg 更新可修正下列問題:

修正的安全性問題:

- CVE-2016-4348:剖析含有循環定義 _rsvg_css_normalize_font_size() 函式的 SVG 時發生 DoS (boo#977986)

修正的錯誤:

- 必要時實際縮放影像,來自上游 git 的迴歸修正 (bgo#760262)。

- 修正 bgo#759084:篩選器實際上不存在時不當機。

- 更新 autogen.sh 以使用新的 autotools。

- 修正 bgo#761728:PrimitiveComponentTransfer 篩選器中發生記憶體洩漏問題。

- 新增對文字物件中「baseline-shift」屬性的基本支援 (bgo#340047)。

- 修正轉譯路徑時發生的一些重複登入問題 (bgo#749415)。

- 重新寫入標記引擎 (bgo#685906、bgo#760180)。

- 重構測試強度以使用 Glib 的 gtest 基礎結構,而非使用本土機械。
 測試時可以只將 SVG 檔案放置在 tests/subdirectories 中;沒有必要在文字檔中明確列出檔案。

- 現在從資料流讀取時 Gzipped SVG 可正常運作。

- objects/filters/URIs/etc. 的參照現在以消極方式處理。此外,還有一個通用週期偵測器,所以格式錯誤的 SVG 不會造成無限迴圈。

- 移除 Adobe 混合模式的剖析;反正這些模式尚未實作。

- 針對 Visual Studio 的構建新增專案檔案 (bgo#753555)。

- 為 rsvg-convert(1) 新增「--export-id」選項。此選項可用來選取要匯出的單一物件,例如從多部分繪圖中挑出一個群組。請注意,目前此選項主要對於 PNG 輸出有效;針對 SVG 輸出,尚未保留很多在該擷取版本中有用處的屬性。若要正確執行此作業,需要一個內部「輸出至 SVG」後端,而非只是命令 Cairo 轉譯為 SVG。

解決方案

更新受影響的 librsvg 套件。

另請參閱

https://bugzilla.opensuse.org/show_bug.cgi?id=977986

Plugin 詳細資訊

嚴重性: High

ID: 91278

檔案名稱: openSUSE-2016-608.nasl

版本: 2.5

類型: local

代理程式: unix

已發布: 2016/5/20

已更新: 2021/1/19

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.6

CVSS v2

風險因素: Medium

基本分數: 5

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS v3

風險因素: High

基本分數: 7.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

弱點資訊

CPE: p-cpe:/a:novell:opensuse:gdk-pixbuf-loader-rsvg, p-cpe:/a:novell:opensuse:gdk-pixbuf-loader-rsvg-32bit, p-cpe:/a:novell:opensuse:gdk-pixbuf-loader-rsvg-debuginfo, p-cpe:/a:novell:opensuse:gdk-pixbuf-loader-rsvg-debuginfo-32bit, p-cpe:/a:novell:opensuse:librsvg-2-2, p-cpe:/a:novell:opensuse:librsvg-2-2-32bit, p-cpe:/a:novell:opensuse:librsvg-2-2-debuginfo, p-cpe:/a:novell:opensuse:librsvg-2-2-debuginfo-32bit, p-cpe:/a:novell:opensuse:librsvg-debugsource, p-cpe:/a:novell:opensuse:librsvg-devel, p-cpe:/a:novell:opensuse:rsvg-view, p-cpe:/a:novell:opensuse:rsvg-view-debuginfo, p-cpe:/a:novell:opensuse:typelib-1_0-rsvg-2_0, cpe:/o:novell:opensuse:13.2, cpe:/o:novell:opensuse:42.1

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

修補程式發佈日期: 2016/5/18

參考資訊

CVE: CVE-2016-4348