MagicLinux 4 X11 客户端库 (AXSA:2014-613:01)
critical Nessus 插件 ID 289405
语言:
简介
远程iraclelinux 主机缺少一个或多个安全更新。描述
远程iraclelinux 4 主机上存在安装的程序包该程序包受到 AXSA:2014-613:01 公告中提及的多个漏洞的影响。描述:
X11 (Xorg) 库提供在所有 X Window 应用程序中使用的库例程。
此版本修复的安全问题
CVE-2013-1981 X.org libX11 中的多个整数溢出 1.5.99.901 (1.6 RC1) 和更早版本允许 X 服务器通过与 (1) XQueryFont、(2) 有关的矢量触发内存分配不足和缓冲区溢出
_XF86BigfontQueryFont、(3) XListFontsWithInfo、(4) XGetMotionEvents、(5) XListHosts、(6) XGetModifierMapping、(7) XGetPointerMapping、(8) XGetKeyboardMapping、(9) XGetWindowProperty、(10) XGetImage、(11) LoadColornameDB、(12) XrmGetFileDatabase、(13) _XimParseStringFile 或 (14) TransFileName 函数。
CVE-2013-1982 X.org libXext 1.3.1 和更早版本中的多个整数溢出允许 X 服务器通过与 (1) XcupGetReservedColormapEntries、(2) XcupStoreColors(3) XdbeGetVisualInfo、(4) 相关的矢量触发不足内存的分配和缓冲区溢出XeviGetVisualInfo、(5) XShapeGetRectangles 和 (6) XSyncListSystemCounters 函数。
CVE-2013-1983 X.org libXfixes 5.0 和更早版本中的整数溢出允许 X 服务器通过与 XFixesGetCursorImage 函数有关的矢量触发内存分配不足和缓冲区溢出。
CVE-2013-1984 X.org libXi 1.7.1 和更早版本中的多个整数溢出允许 X 服务器通过与 (1) XGetDeviceControl、(2) XGetFeedbackControl、(3) XGetDeviceDontPropagateList、(4) 有关的矢量触发不足内存的分配和缓冲区溢出XGetDeviceMotionEvents、(5) XIGetProperty、(6) XIGetSelectedEvents、(7) XGetDeviceProperties 和 (8) XListInputDevices 函数。
CVE-2013-1985 X.org libXinerama 1.1.2 和更早版本中的整数溢出允许 X 服务器通过与 XineramaQueryScreens 函数有关的矢量触发不足内存的分配和缓冲区溢出。
CVE-2013-1986 X.org libXrandr 1.4.0 和更早版本中的多个整数溢出允许 X 服务器通过与 (1) XRRQueryOutputProperty 和 (2) XRRQueryProviderProperty 函数相关的矢量触发内存分配不足和缓冲区溢出。
CVE-2013-1987 X.org libXrender 0.9.7 和更早版本中的多个整数溢出允许 X 服务器通过与 (1) XRenderQueryFilters、(2) XRenderQueryFormats 和 (3) XRenderQueryPictIndexValues 函数相关的矢量触发内存分配不足和缓冲区溢出。
CVE-2013-1988 X.org libXRes 1.0.6 和更早版本中的多个整数溢出允许 X 服务器通过与 (1) XResQueryClients 和 (2) XResQueryClientResources 函数相关的矢量触发内存分配不足和缓冲区溢出。
CVE-2013-1989 X.org libXv 1.0.7 和更早版本中的多个整数溢出允许 X 服务器通过与 (1) XvQueryPortAttributes、(2) XvListImageFormats 和 (3) XvCreateImage 函数相关的矢量触发内存分配不足和缓冲区溢出。
CVE-2013-1990 X.org libXvMC 1.0.7 和更早版本中的多个整数溢出允许 X 服务器通过与 (1) XvMCListSurfaceTypes 和 (2) XvMCListSubpictureTypes 函数相关的矢量触发内存分配不足和缓冲区溢出。
CVE-2013-1991 X.org libXxf86dga 1.1.3 和更早版本中的多个整数溢出允许 X 服务器通过与 (1) XDGAQueryModes 和 (2) XDGASetMode 函数相关的矢量触发内存分配不足和缓冲区溢出。
CVE-2013-1995 X.org libXi 1.7.1 和较早版本允许 X 服务器通过与 XListInputDevices 函数中的意外符号扩展有关的矢量触发不足内存分配和缓冲区溢出。
CVE-2013-1997 X.org libX11 中的多种缓冲区溢出 1.5.99.901 (1.6 RC1) 和更早版本允许 X 服务器通过 (1) XAllocColorCells、 ( 2) _XkbReadGetDeviceInfoReply、(3) _XkbReadGeomShapes、(4)
_XkbReadGetGeometryReply、(5) _XkbReadKeySyms、(6) _XkbReadKeyActions、(7) _XkbReadKeyBehaviors、(8)
_XkbReadModifierMap、(9) _XkbReadExplicitComponents、(10) _XkbReadVirtualModMap、(11)
(1) _XkbReadGetNamesReply、(12) _XkbReadGetMapReply、(13) _XimXGetReadData、(14) XListFonts、(15) XListExtensions 和 (16) XGetFontPath 函数。
CVE-2013-1998 X.org libXi 1.7.1 和更早版本中的多个缓冲区溢出允许 X 服务器通过 (1) XGetDeviceButtonMapping、(2) XIPassiveGrabDevice 和 和 属性中构建的长度或索引值造成拒绝服务崩溃并可能执行任意代码(3) XQueryDeviceState 函数。
X.org libXvMC 1.0.7 和更早版本中的CVE-2013-1999 缓冲区溢出允许 X 服务器通过 XvMCGetDRInfo 函数中构建的长度或索引值造成拒绝服务崩溃并可能执行任意代码。
CVE-2013-2000 X.org libXxf86dga 1.1.3 和更早版本中的多种缓冲区溢出允许 X 服务器通过 (1) XDGAQueryModes 和 (2) XDGASetMode 函数中构建的长度或索引值造成拒绝服务崩溃并可能执行任意代码。
CVE-2013-2001 X.org libXxf86vm 1.1.2 和更早版本中的缓冲区溢出允许 X 服务器通过 XF86VidModeGetGammaRamp 函数中构建的长度或索引值造成拒绝服务崩溃并可能执行任意代码。
X.org libXt 1.1.3 和更早版本中的CVE-2013-2002 缓冲区溢出允许 X 服务器通过为 _XtResourceConfigurationEH 函数构建的长度或索引值造成拒绝服务崩溃并可能执行任意代码。
CVE-2013-2003 X.org libXcursor 1.1.13 和更早版本中的整数溢出允许 X 服务器通过与 _XcursorFileHeaderCreate 函数相关的矢量触发内存分配不足和缓冲区溢出。
CVE-2013-2004 X.org libX11 1.5.99.901 (1.6 RC1) 和更低版本中的 (1) GetDatabase 和 (2) _XimParseStringFile 函数在处理指令以包括文件时不限制递归深度这允许 X 服务器造成拒绝服务堆栈消耗通过构建的文件。
CVE-2013-2005 X.org libXt 1.1.3 和先前版本不检查 XGetWindowProperty 函数的返回值进而允许 X 服务器通过与 (1) ReqCleanup、(2) HandleSelectionEvents、 (3) ReqTimedOut、(4) HandleNormal 和 (5) HandleSelectionReplies 函数。
CVE-2013-2062 X.org libXp 中的多个整数溢出 1.0.1 和更早版本允许 X 服务器通过与 (1) XpGetAttributes、(2) XpGetOneAttribute、(3) XpGetPrinterList 和 (4) 有关的矢量触发内存分配不足和缓冲区溢出) XpQueryScreens 函数。
CVE-2013-2064 X.org libxcb 1.9 和更早版本中的整数溢出允许 X 服务器通过与 read_packet 函数相关的矢量触发内存分配不足和缓冲区溢出。
X.org libXv 1.0.7 和更早版本中的CVE-2013-2066 缓冲区溢出允许 X 服务器通过 XvQueryPortAttributes 函数中构建的长度或索引值造成拒绝服务崩溃并可能执行任意代码。
修复的缺陷:
* 以前,更新 mesa-libGL 程序包时不会更新 libX11 程序包,尽管它被列为与 mesa-libGL 存在依存关系。通过此更新修复了该问题。
* 此前,关闭客户应用程序可能偶尔会导致 X Server 意外终止。通过此更新修复了该问题。
Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的程序包。另见
插件详情
严重性: Critical
ID: 289405
文件名: miracle_linux_AXSA-2014-613.nasl
版本: 1.1
类型: local
发布时间: 2026/1/16
最近更新时间: 2026/1/16
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
Vendor
Vendor Severity: Moderate
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2013-2004
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
CVSS 分数来源: CVE-2013-1997
漏洞信息
CPE: p-cpe:/a:miracle:linux:libxxf86vm, p-cpe:/a:miracle:linux:libxfixes, p-cpe:/a:miracle:linux:libxinerama, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:libxrender, p-cpe:/a:miracle:linux:libxtst-devel, p-cpe:/a:miracle:linux:libxt, p-cpe:/a:miracle:linux:libxxf86vm-devel, p-cpe:/a:miracle:linux:libxrender-devel, p-cpe:/a:miracle:linux:libxvmc, p-cpe:/a:miracle:linux:libx11-common, p-cpe:/a:miracle:linux:xorg-x11-proto-devel, p-cpe:/a:miracle:linux:libxext-devel, p-cpe:/a:miracle:linux:libxcursor-devel, p-cpe:/a:miracle:linux:libx11-devel, p-cpe:/a:miracle:linux:libxinerama-devel, p-cpe:/a:miracle:linux:libxcb-devel, p-cpe:/a:miracle:linux:libxres, p-cpe:/a:miracle:linux:libxtst, p-cpe:/a:miracle:linux:libxp, p-cpe:/a:miracle:linux:libxv-devel, p-cpe:/a:miracle:linux:libxi-devel, p-cpe:/a:miracle:linux:libxrandr, p-cpe:/a:miracle:linux:xkeyboard-config, p-cpe:/a:miracle:linux:libx11, p-cpe:/a:miracle:linux:libxfixes-devel, p-cpe:/a:miracle:linux:libxrandr-devel, p-cpe:/a:miracle:linux:libxcb, p-cpe:/a:miracle:linux:libxxf86dga, p-cpe:/a:miracle:linux:libxp-devel, p-cpe:/a:miracle:linux:libxcursor, p-cpe:/a:miracle:linux:libxext, p-cpe:/a:miracle:linux:libxt-devel, p-cpe:/a:miracle:linux:libxv, p-cpe:/a:miracle:linux:libxi, p-cpe:/a:miracle:linux:libdmx
必需的 KB 项: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu
易利用性: No known exploits are available
补丁发布日期: 2014/10/22
漏洞发布日期: 2013/5/23
参考资料信息
CVE: CVE-2013-1981, CVE-2013-1982, CVE-2013-1983, CVE-2013-1984, CVE-2013-1985, CVE-2013-1986, CVE-2013-1987, CVE-2013-1988, CVE-2013-1989, CVE-2013-1990, CVE-2013-1991, CVE-2013-1995, CVE-2013-1997, CVE-2013-1998, CVE-2013-1999, CVE-2013-2000, CVE-2013-2001, CVE-2013-2002, CVE-2013-2003, CVE-2013-2004