FreeBSD:xorg-server -- X 服务器的 XkbSetGeometry 请求中的信息泄漏。(54a69cf7-b2ef-11e4-b1f1-bcaec565249c)
medium Nessus 插件 ID 81332
语言:
简介
远程 FreeBSD 主机缺少一个或多个与安全有关的更新。描述
Peter Hutterer 报告:Red Hat 的 Olivier Fourdan 发现在 X 服务器代码库处理 XkbSetGeometry 请求的方式中存在一个协议处理问题。
产生此问题的原因是服务器相信客户端会在请求数据中发送有效的字符串长度。字符串长度超出请求长度的恶意客户端可造成服务器将相邻的内存数据复制到 XKB 结构中。此数据随后通过 XkbGetGeometry 请求可用于客户端。数据长度至少达到 64k,可能通过链接字符串获取更多数据,然后可以通过在内存的该 16 位区域中发生的任何情况确定每个字符串长度。
类似构建的请求可能导致 X 服务器崩溃。
解决方案
更新受影响的数据包。另见
https://lists.freedesktop.org/archives/xorg/2015-February/057158.html
插件详情
严重性: Medium
ID: 81332
文件名: freebsd_pkg_54a69cf7b2ef11e4b1f1bcaec565249c.nasl
版本: 1.6
类型: local
发布时间: 2015/2/13
最近更新时间: 2021/1/6
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.2
CVSS v2
风险因素: Medium
基本分数: 6.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:P
漏洞信息
CPE: p-cpe:/a:freebsd:freebsd:xorg-server, cpe:/o:freebsd:freebsd
必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
补丁发布日期: 2015/2/12
漏洞发布日期: 2015/2/10
参考资料信息
CVE: CVE-2015-0255