检测

插件

RHEL 6 / 7 : xorg-x11-server (RHSA-2014:1983)

high Nessus 插件 ID 80011

语言：

简介

远程 Red Hat 主机缺少一个或多个 xorg-x11-server 安全更新。

描述

远程 Redhat Enterprise Linux 6 / 7 主机上安装的程序包受到 RHSA-2014:1983 公告中提及的多个漏洞的影响。

X.Org 是 X Window System 的开源实现。它提供了基本的底层功能，在此基础上设计出完全成熟的图形用户界面。

在 X.Org 服务器针对特定的 X11 核心协议和 GLX 扩展请求计算内存要求的方式中发现多个整数溢出缺陷和越界写入缺陷。经过认证的恶意客户端可利用这些缺陷之一造成 X.Org 服务器崩溃，或可以根权限执行任意代码。（CVE-2014-8092、CVE-2014-8093、CVE-2014-8098）

已发现 X.Org 服务器未正确处理 SUN-DES-1 (Secure RPC) 认证凭据。未经身份验证的恶意客户端可通过提交特别构建的身份验证请求，来利用此缺陷造成 X.Org 服务器崩溃。(CVE-2014-8091)

在 X.Org 服务器针对特定请求计算内存要求的方式中发现多个越界访问缺陷。经过认证的恶意客户端可利用这些缺陷之一造成 X.Org 服务器崩溃，或将内存内容泄漏给客户端。(CVE-2014-8097)

在 X.Org 服务器针对特定 DRI2 扩展请求计算内存要求的方式中发现整数溢出缺陷。经过认证的恶意客户端可利用此缺陷造成 X.Org 服务器崩溃。
(CVE-2014-8094)

在 X.Org 服务器针对特定请求计算内存要求的方式中发现多个越界访问缺陷。经过身份验证的恶意客户端可利用上述其中一个缺陷造成 X.Org 服务器崩溃。（CVE-2014-8095、CVE-2014-8096、CVE-2014-8099、CVE-2014-8100、CVE-2014-8101、CVE-2014-8102、CVE-2014-8103）

建议所有 xorg-x11-server 用户升级这些更新后的程序包，其中包含用于修正这些问题的向后移植的修补程序。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

解决方案

依据 RHSA-2014:1983 中的指南更新 RHEL xorg-x11-server 程序包。

另见

http://www.nessus.org/u?27df064b

http://www.x.org/wiki/Development/Security/Advisory-2014-12-09/

https://access.redhat.com/errata/RHSA-2014:1983

https://access.redhat.com/security/updates/classification/#important

https://bugzilla.redhat.com/show_bug.cgi?id=1168680

https://bugzilla.redhat.com/show_bug.cgi?id=1168684

https://bugzilla.redhat.com/show_bug.cgi?id=1168688

https://bugzilla.redhat.com/show_bug.cgi?id=1168691

https://bugzilla.redhat.com/show_bug.cgi?id=1168694

https://bugzilla.redhat.com/show_bug.cgi?id=1168700

https://bugzilla.redhat.com/show_bug.cgi?id=1168705

https://bugzilla.redhat.com/show_bug.cgi?id=1168707

https://bugzilla.redhat.com/show_bug.cgi?id=1168710

https://bugzilla.redhat.com/show_bug.cgi?id=1168711

https://bugzilla.redhat.com/show_bug.cgi?id=1168713

https://bugzilla.redhat.com/show_bug.cgi?id=1168714

https://bugzilla.redhat.com/show_bug.cgi?id=1168716

插件详情

严重性: High

ID: 80011

文件名: redhat-RHSA-2014-1983.nasl

版本: 1.17

类型: local

代理: unix

系列: Red Hat Local Security Checks

发布时间: 2014/12/15

最近更新时间: 2025/3/21

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

Vendor

Vendor Severity: Important

CVSS v2

风险因素: Medium

基本分数: 6.5

时间分数: 4.8

矢量: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P

CVSS 分数来源: CVE-2014-8103

CVSS v3

风险因素: High

基本分数: 7.5

时间分数: 6.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS 分数来源: CVE-2014-8091

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:xorg-x11-server-xorg, p-cpe:/a:redhat:enterprise_linux:xorg-x11-server-devel, p-cpe:/a:redhat:enterprise_linux:xorg-x11-server-xnest, p-cpe:/a:redhat:enterprise_linux:xorg-x11-server-source, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:xorg-x11-server, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:xorg-x11-server-xdmx, p-cpe:/a:redhat:enterprise_linux:xorg-x11-server-common, p-cpe:/a:redhat:enterprise_linux:xorg-x11-server-xvfb, p-cpe:/a:redhat:enterprise_linux:xorg-x11-server-xephyr

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2014/12/11

漏洞发布日期: 2014/12/10

参考资料信息

CVE: CVE-2014-8091, CVE-2014-8092, CVE-2014-8093, CVE-2014-8094, CVE-2014-8095, CVE-2014-8096, CVE-2014-8097, CVE-2014-8098, CVE-2014-8099, CVE-2014-8100, CVE-2014-8101, CVE-2014-8102, CVE-2014-8103

CWE: 119, 125, 252, 787

RHSA: 2014:1983