CentOS 5：gnome-vfs2 (CESA-2013:0131)

medium Nessus 插件 ID 63576

语言：

简介

远程 CentOS 主机缺少一个或多个安全更新。

描述

更新后的 gnome-vfs2 程序包修复了一个安全问题和多个缺陷，现在可用于 Red Hat Enterprise Linux 5。

Red Hat 安全响应团队将此更新评级为具有低危安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级。

gnome-vfs2 程序包提供 GNOME 虚拟文件系统，即 Nautilus 文件管理器的基础。neon 是嵌入 gnome-vfs2 程序包的 HTTP 和 WebDAV 客户端库。

发现 neon 可扩展标记语言 (XML) 解析器存在拒绝服务缺陷。通过使用 gnome-vfs2 的应用程序（如 Nautilus）访问恶意的 DAV 服务器，可能会导致应用程序占用大量 CPU 和内存。
(CVE-2009-2473)

此更新还修复以下缺陷：

* 当从统一资源标识符 (URI) 提取时，gnome-vfs2 返回已转义的文件路径。如果存储在 URI 中的路径含有被解析为文件路径以外内容（如空间）的非 ASCII 字符或 ASCII 字符，则被转义的路径是不正确的。因此，不能处理含有所述类型 URI 的文件。通过此更新，gnome-vfs2 正确地反转义系统调用所要求的路径。因此，这些路径能进行正确解析。(BZ#580855)

* 在某些情况下，指向实时数据的外来条目会填充垃圾信息文件。清空垃圾导致意外删除重要数据。通过此更新，已应用变通方案避免此类删除。因此可避免数据的意外丢失，但还需收集更多信息才能完全修复该问题。(BZ#586015)

* 由于目标文件系统的错误测试检查，Nautilus 文件管理器没有删除与驻留于另一文件系统的文件夹之间的符号链接。通过此更新，已添加特别测试。因此，指向另一文件系统的符号链接可正常销毁或删除。(BZ#621394)

* 在此更新之前，当对无读取权限的目录进行复制标记时，Nautilus 文件管理器会在没有通知的情况下跳过这些不可读的目录。通过此更新，Nautilus 显示错误消息并将上述问题正确地告知用户。(BZ#772307)

* 以前，gnome-vfs2 将 stat() 函数调用用于多版本文件系统 (MVFS) 的每个文件，例如由 IBM Rational ClearCase 使用。这一行为大大减缓了文件操作。通过此更新，限制了不必要的 stat() 操作。因此，gnome-vfs2 用户界面（如 Nautilus）的响应更强。(BZ#822817)

建议所有 gnome-vfs2 用户升级这些更新后的程序包，其中包含用于修正这些问题的向后移植的修补程序。