Scientific Linux 安全更新:SL5.x i386/x86_64 中的 gnome-vfs2
medium Nessus 插件 ID 63594
语言:
简介
远程 Scientific Linux 主机缺少一个或多个安全更新。描述
发现 neon 可扩展标记语言 (XML) 解析器存在拒绝服务缺陷。通过使用 gnome-vfs2 的应用程序(如 Nautilus)访问恶意的 DAV 服务器,可能会导致应用程序占用大量 CPU 和内存。(CVE-2009-2473)
此更新还修复以下缺陷:
- 当从统一资源标识符 (URI) 提取时,gnome-vfs2 返回已转义的文件路径。如果存储在 URI 中的路径含有被解析为文件路径以外内容(如空间)的非 ASCII 字符或 ASCII 字符,则被转义的路径是不正确的。因此,不能处理含有所述类型 URI 的文件。
通过此更新,gnome-vfs2 正确地反转义系统调用所要求的路径。因此,这些路径能进行正确解析。
- 在某些情况下,指向实时数据的外来条目会填充垃圾信息文件。清空垃圾导致意外删除重要数据。
通过此更新,已应用变通方案避免此类删除。因此可避免数据的意外丢失,但还需收集更多信息才能完全修复该问题。
- 由于目标文件系统的错误测试检查,Nautilus 文件管理器没有删除与驻留于另一文件系统的文件夹之间的符号链接。通过此更新,已添加特别测试。因此,指向另一文件系统的符号链接可正常销毁或删除。
- 在此更新之前,当对无读取权限的目录进行复制标记时,Nautilus 文件管理器会在没有通知的情况下跳过这些不可读的目录。通过此更新,Nautilus 显示错误消息并将上述问题正确地告知用户。
- 以前,gnome-vfs2 将 stat() 函数调用用于多版本文件系统 (MVFS) 的每个文件,例如由 IBM Rational ClearCase 使用。这一行为大大减缓了文件操作。通过此更新,限制了不必要的 stat() 操作。因此,gnome-vfs2 用户界面(如 Nautilus)的响应更强。
解决方案
更新受影响的数据包。另见
插件详情
严重性: Medium
ID: 63594
文件名: sl_20130108_gnome_vfs2_on_SL5_x.nasl
版本: 1.5
类型: local
代理: unix
发布时间: 2013/1/17
最近更新时间: 2021/1/14
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 4.4
CVSS v2
风险因素: Medium
基本分数: 4.3
矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:P
漏洞信息
CPE: p-cpe:/a:fermilab:scientific_linux:gnome-vfs2, p-cpe:/a:fermilab:scientific_linux:gnome-vfs2-debuginfo, p-cpe:/a:fermilab:scientific_linux:gnome-vfs2-devel, p-cpe:/a:fermilab:scientific_linux:gnome-vfs2-smb, x-cpe:/o:fermilab:scientific_linux
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
补丁发布日期: 2013/1/8
漏洞发布日期: 2009/8/21
参考资料信息
CVE: CVE-2009-2473
CWE: 399