检测

openSUSE 安全更新:librsvg (openSUSE-2016-608)

high Nessus 插件 ID 91278

语言:

简介

远程 openSUSE 主机缺少安全更新。

描述

此 librsvg 2.40.15 的更新修复了以下问题:

修复的安全问题:

- CVE-2016-4348:解析含有循环定义 _rsvg_css_normalize_font_size() 函数的 SVG 时发生 DoS (boo#977986)

修复的缺陷:

- 必要时实际缩放图像,来自上游 git 的回归补丁 (bgo#760262)。

- 修复了 bgo#759084:筛选器实际上不存在时不崩溃。

- 更新了 autogen.sh 以使用新的 autotools。

- 修复了 bgo#761728:PrimitiveComponentTransfer 筛选器中的内存泄漏。

- 添加了对文本对象中“baseline-shift”属性的基本支持 (bgo#340047)。

- 修复了渲染路径时发生的一些重复逻辑 (bgo#749415)。

- 重新写入了标记引擎(bgo#685906、bgo#760180)。

- 重构测试强度以使用 Glib 的 gtest 基础设施,而非使用本土机械。
 可将测试文件简单作为 SVG 文件放置在 tests/subdirectories 中;没有必要在某些文本文件中明确列出文件。

- 现在从数据流读取时 Gzipped SVG 可正常工作。

- objects/filters/URIs/etc. 的引用现被延迟处理。此外,还有一个通用周期检测器,所以畸形的 SVG 不会造成无限循环。

- 删除了 Adobe 混合模式的解析;反正这些模式尚未实现。

- 针对 Visual Studio 的构建添加项目文件 (bgo#753555)。

- 向 rsvg-convert(1) 添加了“--export-id”选项。此选项可用来选择要导出的单一对象,例如从多部分绘图中挑出一个群组。请注意,目前此选项主要对于 PNG 输出有效;针对 SVG 输出,尚未保留很多在该提取版本中有用处的属性。若要正确执行此操作,需要一个内部“输出到 SVG”后端,而非只是命令 Cairo 渲染为 SVG。

解决方案

更新受影响的 librsvg 程序包。

另见

https://bugzilla.opensuse.org/show_bug.cgi?id=977986

插件详情

严重性: High

ID: 91278

文件名: openSUSE-2016-608.nasl

版本: 2.5

类型: local

代理: unix

发布时间: 2016/5/20

最近更新时间: 2021/1/19

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: Medium

基本分数: 5

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS v3

风险因素: High

基本分数: 7.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

漏洞信息

CPE: p-cpe:/a:novell:opensuse:gdk-pixbuf-loader-rsvg, p-cpe:/a:novell:opensuse:gdk-pixbuf-loader-rsvg-32bit, p-cpe:/a:novell:opensuse:gdk-pixbuf-loader-rsvg-debuginfo, p-cpe:/a:novell:opensuse:gdk-pixbuf-loader-rsvg-debuginfo-32bit, p-cpe:/a:novell:opensuse:librsvg-2-2, p-cpe:/a:novell:opensuse:librsvg-2-2-32bit, p-cpe:/a:novell:opensuse:librsvg-2-2-debuginfo, p-cpe:/a:novell:opensuse:librsvg-2-2-debuginfo-32bit, p-cpe:/a:novell:opensuse:librsvg-debugsource, p-cpe:/a:novell:opensuse:librsvg-devel, p-cpe:/a:novell:opensuse:rsvg-view, p-cpe:/a:novell:opensuse:rsvg-view-debuginfo, p-cpe:/a:novell:opensuse:typelib-1_0-rsvg-2_0, cpe:/o:novell:opensuse:13.2, cpe:/o:novell:opensuse:42.1

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

补丁发布日期: 2016/5/18

参考资料信息

CVE: CVE-2016-4348