CentOS 8：GNOME (CESA-2019: 3553)

high Nessus 插件 ID 145653

语言：

简介

远程 CentOS 主机缺少一个或多个安全更新。

描述

远程 CentOS Linux 8 主机上安装的程序包受到 CESA-2019: 3553 公告中提及的多个漏洞的影响。

- webkitgtk：HTTP 代理设置去匿名化信息泄露 (CVE-2019-11070)

- evince：tiff_document_render() 和 tiff_document_get_thumbnail() 函数中存在未初始化的内存使用 (CVE-2019-11459)

- gvfs：gvfsd 的 daemon/gvfsdaemon.c 中的授权不正确 (CVE-2019-12795)

- webkitgtk：多个内存损坏问题可导致任意代码执行（CVE-2019-6237、CVE-2019-8571、CVE-2019-8583、CVE-2019-8584、CVE-2019-8586、CVE-2019-8587、CVE-2019-8594、CVE-2019-8595、CVE-2019-8596、CVE-2019-8597、CVE-2019-8601、CVE-2019-8608、CVE-2019-8609、CVE-2019-8610、CVE-2019-8611、CVE-2019-8615、CVE-2019-8619、CVE-2019-8622、CVE-2019-8623、CVE-2019-8666、CVE-2019-8671、CVE-2019-8672、CVE-2019-8673、CVE-2019-8676、CVE-2019-8677、CVE-2019-8679、CVE-2019-8681、CVE-2019-8686、CVE-2019-8687、CVE-2019-8689、CVE-2019-8726、CVE-2019-8735）

- webkitgtk：处理恶意构建的 Web 内容可导致 URI 欺骗 (CVE-2019-6251)

- webkitgtk：恶意 Web 内容可导致任意代码执行 (CVE-2019-8506)

- webkitgtk：恶意 Web 内容可导致任意代码执行（CVE-2019-8518、CVE-2019-8523、CVE-2019-8524、CVE-2019-8559、CVE-2019-8563）

- webkitgtk：恶意构建的 Web 内容可导致任意代码执行（CVE-2019-8535、CVE-2019-8536、CVE-2019-8558）

- webkitgtk：恶意构建的 Web 内容可导致任意 Web 内容 (CVE-2019-8544)

- webkitgtk：越界读取造成内存泄露 (CVE-2019-8607)

- webkitgtk：状态管理不当导致通用跨站脚本 (CVE-2019-8690)

- webkitgtk：无法删除浏览历史记录 (CVE-2019-8768)

请注意，Nessus 尚未测试此问题，而是只依赖于应用程序自我报告的版本号。

解决方案

更新受影响的程序包。

另见

https://access.redhat.com/errata/RHSA-2019:3553

插件详情

严重性: High

ID: 145653

文件名: centos8_RHSA-2019-3553.nasl

版本: 1.6

类型: local

代理: unix

系列: CentOS Local Security Checks

发布时间: 2021/1/29

最近更新时间: 2023/4/25

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus

风险信息

VPR

风险因素: High

分数: 7.4

CVSS v2

风险因素: High

基本分数: 9.3

时间分数: 7.7

矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2019-8689

CVSS v3

风险因素: High

基本分数: 8.8

时间分数: 8.2

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:F/RL:O/RC:C

CVSS 分数来源: CVE-2019-8735

漏洞信息

CPE: p-cpe:/a:centos:centos:gvfs-archive, p-cpe:/a:centos:centos:gvfs-client, p-cpe:/a:centos:centos:gvfs-devel, p-cpe:/a:centos:centos:gvfs-fuse, p-cpe:/a:centos:centos:gvfs-goa, p-cpe:/a:centos:centos:gvfs-gphoto2, p-cpe:/a:centos:centos:gvfs-mtp, p-cpe:/a:centos:centos:gvfs-smb, p-cpe:/a:centos:centos:libpurple, p-cpe:/a:centos:centos:libpurple-devel, p-cpe:/a:centos:centos:mozjs60, p-cpe:/a:centos:centos:mozjs60-devel, p-cpe:/a:centos:centos:mutter, p-cpe:/a:centos:centos:mutter-devel, p-cpe:/a:centos:centos:nautilus, p-cpe:/a:centos:centos:nautilus-devel, p-cpe:/a:centos:centos:nautilus-extensions, p-cpe:/a:centos:centos:pango, p-cpe:/a:centos:centos:pango-devel, p-cpe:/a:centos:centos:pidgin, p-cpe:/a:centos:centos:pidgin-devel, p-cpe:/a:centos:centos:plymouth, p-cpe:/a:centos:centos:plymouth-core-libs, p-cpe:/a:centos:centos:plymouth-graphics-libs, p-cpe:/a:centos:centos:plymouth-plugin-fade-throbber, p-cpe:/a:centos:centos:plymouth-plugin-label, p-cpe:/a:centos:centos:plymouth-plugin-script, p-cpe:/a:centos:centos:plymouth-plugin-space-flares, p-cpe:/a:centos:centos:plymouth-plugin-throbgress, p-cpe:/a:centos:centos:plymouth-plugin-two-step, p-cpe:/a:centos:centos:plymouth-scripts, p-cpe:/a:centos:centos:plymouth-system-theme, p-cpe:/a:centos:centos:plymouth-theme-charge, p-cpe:/a:centos:centos:plymouth-theme-fade-in, p-cpe:/a:centos:centos:plymouth-theme-script, p-cpe:/a:centos:centos:plymouth-theme-solar, p-cpe:/a:centos:centos:plymouth-theme-spinfinity, p-cpe:/a:centos:centos:plymouth-theme-spinner, p-cpe:/a:centos:centos:wayland-protocols-devel, p-cpe:/a:centos:centos:webkit2gtk3, p-cpe:/a:centos:centos:webkit2gtk3-devel, p-cpe:/a:centos:centos:webkit2gtk3-jsc, p-cpe:/a:centos:centos:webkit2gtk3-jsc-devel, p-cpe:/a:centos:centos:webkit2gtk3-plugin-process-gtk2, cpe:/o:centos:centos:8, p-cpe:/a:centos:centos:sdl, p-cpe:/a:centos:centos:sdl-devel, p-cpe:/a:centos:centos:accountsservice, p-cpe:/a:centos:centos:accountsservice-devel, p-cpe:/a:centos:centos:accountsservice-libs, p-cpe:/a:centos:centos:appstream-data, p-cpe:/a:centos:centos:baobab, p-cpe:/a:centos:centos:chrome-gnome-shell, p-cpe:/a:centos:centos:evince, p-cpe:/a:centos:centos:evince-browser-plugin, p-cpe:/a:centos:centos:evince-libs, p-cpe:/a:centos:centos:evince-nautilus, p-cpe:/a:centos:centos:file-roller, p-cpe:/a:centos:centos:gdk-pixbuf2, p-cpe:/a:centos:centos:gdk-pixbuf2-devel, p-cpe:/a:centos:centos:gdk-pixbuf2-modules, p-cpe:/a:centos:centos:gdk-pixbuf2-xlib, p-cpe:/a:centos:centos:gdk-pixbuf2-xlib-devel, p-cpe:/a:centos:centos:gdm, p-cpe:/a:centos:centos:gjs, p-cpe:/a:centos:centos:gjs-devel, p-cpe:/a:centos:centos:gnome-classic-session, p-cpe:/a:centos:centos:gnome-control-center, p-cpe:/a:centos:centos:gnome-control-center-filesystem, p-cpe:/a:centos:centos:gnome-desktop3, p-cpe:/a:centos:centos:gnome-desktop3-devel, p-cpe:/a:centos:centos:gnome-remote-desktop, p-cpe:/a:centos:centos:gnome-settings-daemon, p-cpe:/a:centos:centos:gnome-shell, p-cpe:/a:centos:centos:gnome-shell-extension-apps-menu, p-cpe:/a:centos:centos:gnome-shell-extension-auto-move-windows, p-cpe:/a:centos:centos:gnome-shell-extension-common, p-cpe:/a:centos:centos:gnome-shell-extension-dash-to-dock, p-cpe:/a:centos:centos:gnome-shell-extension-desktop-icons, p-cpe:/a:centos:centos:gnome-shell-extension-disable-screenshield, p-cpe:/a:centos:centos:gnome-shell-extension-drive-menu, p-cpe:/a:centos:centos:gnome-shell-extension-horizontal-workspaces, p-cpe:/a:centos:centos:gnome-shell-extension-launch-new-instance, p-cpe:/a:centos:centos:gnome-shell-extension-native-window-placement, p-cpe:/a:centos:centos:gnome-shell-extension-no-hot-corner, p-cpe:/a:centos:centos:gnome-shell-extension-panel-favorites, p-cpe:/a:centos:centos:gnome-shell-extension-places-menu, p-cpe:/a:centos:centos:gnome-shell-extension-screenshot-window-sizer, p-cpe:/a:centos:centos:gnome-shell-extension-systemmonitor, p-cpe:/a:centos:centos:gnome-shell-extension-top-icons, p-cpe:/a:centos:centos:gnome-shell-extension-updates-dialog, p-cpe:/a:centos:centos:gnome-shell-extension-user-theme, p-cpe:/a:centos:centos:gnome-shell-extension-window-grouper, p-cpe:/a:centos:centos:gnome-shell-extension-window-list, p-cpe:/a:centos:centos:gnome-shell-extension-windowsnavigator, p-cpe:/a:centos:centos:gnome-shell-extension-workspace-indicator, p-cpe:/a:centos:centos:gnome-software, p-cpe:/a:centos:centos:gnome-software-editor, p-cpe:/a:centos:centos:gnome-tweaks, p-cpe:/a:centos:centos:gsettings-desktop-schemas, p-cpe:/a:centos:centos:gsettings-desktop-schemas-devel, p-cpe:/a:centos:centos:gtk-update-icon-cache, p-cpe:/a:centos:centos:gtk3, p-cpe:/a:centos:centos:gtk3-devel, p-cpe:/a:centos:centos:gtk3-immodule-xim, p-cpe:/a:centos:centos:gvfs, p-cpe:/a:centos:centos:gvfs-afc, p-cpe:/a:centos:centos:gvfs-afp

必需的 KB 项: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2019/11/5

漏洞发布日期: 2019/1/14

CISA 已知可遭利用的漏洞到期日期: 2022/5/25

参考资料信息

CVE: CVE-2019-11070, CVE-2019-11459, CVE-2019-12795, CVE-2019-6237, CVE-2019-6251, CVE-2019-8506, CVE-2019-8518, CVE-2019-8523, CVE-2019-8524, CVE-2019-8535, CVE-2019-8536, CVE-2019-8544, CVE-2019-8558, CVE-2019-8559, CVE-2019-8563, CVE-2019-8571, CVE-2019-8583, CVE-2019-8584, CVE-2019-8586, CVE-2019-8587, CVE-2019-8594, CVE-2019-8595, CVE-2019-8596, CVE-2019-8597, CVE-2019-8601, CVE-2019-8607, CVE-2019-8608, CVE-2019-8609, CVE-2019-8610, CVE-2019-8611, CVE-2019-8615, CVE-2019-8619, CVE-2019-8622, CVE-2019-8623, CVE-2019-8666, CVE-2019-8671, CVE-2019-8672, CVE-2019-8673, CVE-2019-8676, CVE-2019-8677, CVE-2019-8679, CVE-2019-8681, CVE-2019-8686, CVE-2019-8687, CVE-2019-8689, CVE-2019-8690, CVE-2019-8726, CVE-2019-8735, CVE-2019-8768

BID: 108497, 108566, 108741, 109328, 109329

RHSA: 2019:3553