检测

Oracle Linux 5:xorg-x11-server (ELSA-2012-0303)

low Nessus 插件 ID 68474

语言:

简介

远程 Oracle Linux 主机缺少一个或多个安全更新。

描述

来自 Red Hat 安全公告 2012:0303:

更新后的 xorg-x11-server 程序包修复了一个安全问题和多种缺陷,现在可用于 Red Hat Enterprise Linux 5。

Red Hat 安全响应团队将此更新评级为具有低危安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。

X.Org 是 X Window System 的开源实现。它提供了基本的底层功能,在此基础上设计出完全成熟的图形用户界面。

在 X.Org 服务器处理锁定文件的方式中发现一个缺陷。具有系统控制台访问权限的本地用户可利用此缺陷,通过符号链接攻击来确定该用户无法访问的目录中是否存在某个文件。(CVE-2011-4028)

Red Hat 在此感谢昵称为 vladz 的研究人员报告此问题。

此更新还修复以下缺陷:

* 在罕见的情况下,如果未在视频内存中同时分配 miDbePositionWindow() 函数的前和后缓冲区,或者在系统内存中同时分配了前和后缓冲区,则 X Window System 有时会意外终止。已提供修补程序以解决此问题,X 在所述情况下不再崩溃。
(BZ#596899)

* 以前,在 miSetShape() 函数调用具有 NULL 区域的 miRegionDestroy() 函数时,如果启用了后备存储,X 会意外终止。现在,X 在所述情况下不再崩溃。(BZ#676270)

* 在某些以 32 位模式运行的工作站上,X11 鼠标光标偶尔会在 X11 屏幕左边缘附近卡住。已提供修补程序以解决此问题,鼠标光标在所述情况下不再卡住。(BZ#529717)

* 在某些具有以 Zaphod 模式使用 r500 驱动程序的双头图形适配器的工作站上,鼠标指针会被限制在一个监控屏幕中,无法移动到另一个屏幕。已提供修补程序以解决此问题,鼠标光标会跨两个屏幕正常工作。(BZ#559964)

* 由于双重释放操作,当最后一个客户端断开连接(即服务器重置)时,Xvfb(X 虚拟帧缓冲区)会随机出现分段错误并意外终止。此缺陷已在 miDCCloseScreen() 函数中得到修复,Xvfb 不再崩溃。(BZ#674741)

* 在具有集成图形适配器的 AMD64 或 Intel 64 架构上启动 Xephyr 服务器会导致该服务器意外终止。此缺陷已在代码中得到修复,Xephyr 在所述情况下不再崩溃。(BZ#454409)

* 以前,当客户端发出大于 BigRequestsEnable 回复中所通告限制的 1/4 的请求时,X 服务器会意外关闭连接。通过此更新,在代码中添加了 maxBigRequestSize 变量,以检查客户端请求的大小,从而修复此缺陷。(BZ#555000)

* 当大端系统上运行的 X 客户端调用 XineramaQueryScreens() 函数时,X 服务器会意外终止。
已在 xf86Xinerama 模块中修复此缺陷,X 服务器在所述情况下不再崩溃。(BZ#588346)

* 在 IBM eServer System p 刀片服务器上安装 Red Hat Enterprise Linux 5 时,安装程序未在内置 KVM (键盘-视频-鼠标)上设置正确的模式。因此,图形安装程序需要很长的时间才能出现,然后错误地显示。已提供修补程序以解决此问题,图形安装程序现在会在所述情况下以预期方式工作。
请注意,此补丁需要 Red Hat Enterprise Linux 5.8 内核更新。(BZ#740497)

* 可以通过将坐标之一设为负值来绘制长度超过 46,340 像素的直线。但是,对于虚线,miPolyBuildPoly() 会在设置一段虚线的边缘时出现“int”类型溢出。因此,完全无法绘制虚线段。已应用上游修补程序以解决此问题,现在可以正确绘制虚线。(BZ#649810)

建议所有 xorg-x11-server 用户升级这些更新后的程序包,其中修正了这些问题。必须重新启动所有正在运行的 X.Org 服务器实例才能使此更新生效。

解决方案

更新受影响的 xorg-x11-server 程序包。

另见

https://oss.oracle.com/pipermail/el-errata/2012-March/002654.html

插件详情

严重性: Low

ID: 68474

文件名: oraclelinux_ELSA-2012-0303.nasl

版本: 1.11

类型: local

代理: unix

发布时间: 2013/7/12

最近更新时间: 2021/1/14

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Low

分数: 2.5

CVSS v2

风险因素: Low

基本分数: 1.2

时间分数: 0.9

矢量: CVSS2#AV:L/AC:H/Au:N/C:P/I:N/A:N

漏洞信息

CPE: p-cpe:/a:oracle:linux:xorg-x11-server-xdmx, p-cpe:/a:oracle:linux:xorg-x11-server-xephyr, p-cpe:/a:oracle:linux:xorg-x11-server-xnest, p-cpe:/a:oracle:linux:xorg-x11-server-xorg, p-cpe:/a:oracle:linux:xorg-x11-server-xvfb, p-cpe:/a:oracle:linux:xorg-x11-server-xvnc-source, p-cpe:/a:oracle:linux:xorg-x11-server-sdk, cpe:/o:oracle:linux:5

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

易利用性: No known exploits are available

补丁发布日期: 2012/3/7

漏洞发布日期: 2012/7/3

参考资料信息

CVE: CVE-2011-4028

BID: 50193

RHSA: 2012:0303