Fedora 14 : pango-1.28.1-5.fc14 (2011-3194)

medium Nessus 插件 ID 52696

简介

远程 Fedora 主机缺少安全更新。

描述

发现 pango 不检查 hb_buffer_ensure() 函数中是否存在内存重新分配失败。这可能在 hb_buffer_add_glyph() 中触发空指针取消引用,在这种情况下,可能将不受信任的输入用作索引,用于访问重新分配不正确的数组的成员,从而导致将 NULL 地址用作基数组地址。此问题可导致应用程序崩溃,或者导致代码执行。

据显示,可通过特别构建的网页,在 Firefox 中触发此缺陷。

Mozilla 缺陷报告(目前未公开):
https://bugzilla.mozilla.org/show_bug.cgi?id=606997

harfbuzz git 中的补丁:
http://cgit.freedesktop.org/harfbuzz/commit/?id=a6a79df5fe2e

致谢:

Red Hat 在此感谢 Mozilla 安全团队报告此问题。

请注意,Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

解决方案

更新受影响的 pango 程序包。

另见

https://cgit.freedesktop.org/harfbuzz/commit/?id=a6a79df5fe2e

https://bugzilla.mozilla.org/show_bug.cgi?id=606997

https://bugzilla.redhat.com/show_bug.cgi?id=678563

http://www.nessus.org/u?b33a0389

插件详情

严重性: Medium

ID: 52696

文件名: fedora_2011-3194.nasl

版本: 1.13

类型: local

代理: unix

发布时间: 2011/3/17

最近更新时间: 2021/1/11

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Medium

基本分数: 6.8

时间分数: 5

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

漏洞信息

CPE: p-cpe:/a:fedoraproject:fedora:pango, cpe:/o:fedoraproject:fedora:14

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2011/3/12

参考资料信息

CVE: CVE-2011-0064

BID: 46632

FEDORA: 2011-3194