检测

Scientific Linux 安全更新:SL5.x i386/x86_64 中的 gtk2

medium Nessus 插件 ID 63595

语言:

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

发现 GTK+ 中的 X BitMap (XBM) 图像文件加载程序存在整数溢出缺陷。远程攻击者可提供特别构建的 XBM 图像文件,当与 GTK+ 链接的应用程序(例如 Nautilus)打开此文件时,可能导致应用程序崩溃。
(CVE-2012-2370)

此更新还修复以下缺陷:

- 由于 Input Method GTK+ 模块中存在一个缺陷,使用 Taiwanese Big5 (zh_TW.Big-5) 区域设置会导致某些应用程序(如,GDM greeter)意外终止。已修复该缺陷,繁体中文区域设置不再导致应用程序意外终止。

- 打开 GTK+ 文件选择器对话框,使“位置”字段可见之后,初始选择文件时,按 Enter 键不会打开文件。
 通过此更新,无论“位置”字段是否可见,都可打开最初选择的文件。

- 打开 GTK+ 文件选择器对话框,使“位置”字段可见之后,初始选择文件时,按 Enter 键不会转到目录。通过此更新,无论“位置”字段是否可见,对话框都会转到最初选择的目录。

- 以前,GTK 打印对话框没有反映存储在 ~/.cups/lpoptions 文件中由用户定义的打印机首选项,例如“默认打印机”首选项面板中的设置。因此,打印机列表中的第一个设备始终被设置为默认打印机。通过此更新,已增强底层源代码来解析选项文件。因此,打印对话框中的默认值设置为用户之前指定的值。

- GTK+ 文件选择器未正确处理无名称文件的保存。因此,在没有指定文件名的情况下,尝试进行保存文件的操作导致 GTK+ 失去响应。通过此更新,已为底层源代码添加了针对该情况的明确测试。因此,在所述情况下,GTK+ 不再挂起。

- 当使用某些图形输入板时,GTK+ 库错误地转换了输入坐标。
 因此,笔的位置和屏幕上所画的内容之间存在偏移。该问题仅限于以下配置:Wacom 绘图板(输入坐标捆绑到双头显示配置中的一个显示器),绘图时画笔启用了压力敏感度选项。通过此更新,已更改坐标转换方法,所述的配置不再出现偏移。

- 以前,在使用 GtkNotebook 小组件的应用程序中执行选项卡的拖放操作时,可能导致同一资源被释放两次。最终,该行为导致应用程序因分段错误而终止。此缺陷已修复,使用 GtkNotebook 的应用程序不会在前述情况下终止。

建议所有 GTK+ 用户升级这些更新后的程序包,其中包含用于修正这些问题的向后移植的修补程序。

解决方案

更新受影响的 gtk2、gtk2-debuginfo 和/或 gtk2-devel 程序包。

另见

http://www.nessus.org/u?9cc7a7c5

插件详情

严重性: Medium

ID: 63595

文件名: sl_20130108_gtk2_on_SL5_x.nasl

版本: 1.7

类型: local

代理: unix

发布时间: 2013/1/17

最近更新时间: 2021/1/14

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.4

CVSS v2

风险因素: Medium

基本分数: 5

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

漏洞信息

CPE: p-cpe:/a:fermilab:scientific_linux:gtk2, p-cpe:/a:fermilab:scientific_linux:gtk2-debuginfo, p-cpe:/a:fermilab:scientific_linux:gtk2-devel, x-cpe:/o:fermilab:scientific_linux

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

补丁发布日期: 2013/1/8

漏洞发布日期: 2012/8/13

参考资料信息

CVE: CVE-2012-2370