检测

CentOS 7:clutter / cogl / gnome-shell / mutter (CESA-2015:0535)

high Nessus 插件 ID 81898

语言:

简介

远程 CentOS 主机缺少一个或多个安全更新。

描述

更新后的 gnome-shell、mutter、clutter 和 cogl 程序包修复了一个安全问题、多个缺陷并添加了一项增强,现在可用于 Red Hat Enterprise Linux 7。

Red Hat 产品安全团队将此更新评级为具有低安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。

GNOME Shell 及其依赖的程序包提供了 Red Hat Enterprise Linux 桌面版的核心用户界面,包括在窗口之间导航以及启动应用程序这样的功能。

已发现当屏幕锁定时, GNOME shell 未禁用打印屏幕犍。这可允许对包含锁定屏幕的系统具有物理访问权的攻击者通过创建大量截屏造成屏幕锁定应用程序崩溃。(CVE-2014-7300)

此更新还修复以下缺陷:

* 限时登录功能(即在一段指定的时间后自动登录指定的用户)会在第一位 GUI 用户注销后停止工作。已修复此问题,如果没有其他用户登录,则指定的用户将始终处于登录状态。(BZ#1043571)

* 如果将两台监视器布置成第二台监视器垂直放置在第一台监视器的上方,则无法将窗口移动到第二台监视器上。通过此更新,可将窗口从第一台监视器的上边缘移动至第二台显示器。(BZ#1075240)

* 如果 Gnome 显示管理器 (GDM) 用户列表被禁用并且用户输入了用户名,则不会出现密码提示。相反,用户必须再次输入用户名。包含此错误的 GDM 代码已修复,用户可按预期输入其用户名和密码。(BZ#1109530)

* 在此更新之前,GDM 登录屏幕上只有很小一部分区域可用于自定义文本标题。因此,当使用长标题时,无法将其放入该区域中,阅读标题的人必须使用滚动条才能查看完整的文本。通过此更新,可将更多空间用于显示标题(如果需要),从而允许用户方便地读取消息。(BZ#1110036)

* 如果在验证 LDAP 用户名和密码的同时按下了“取消”按钮,GDM 代码无法正确处理这种情况。因此,GDM 将失去响应,也无法返回登录屏幕。已修复受影响的代码,可以取消 LDAP 用户验证,从而允许其他用户登录。(BZ#1137041)

* 如果将 GNOME 中的窗口焦点模式设为“mouse”或“sloppy”,则在其父窗口之外显示的弹出菜单区域中进行导航将导致窗口失去其焦点。因此,菜单不可用。已修复了此问题,在这种情况下窗口焦点保持不变。(BZ#1149585)

* 如果将用户认证配置为需要智能卡才能登录,则应从智能卡获取用户名。然后通过输入智能卡 PIN 码完成认证。在此更新之前,登录屏幕允许在未插入智能卡的情况下输入用户名,但由于底层代码中存在缺陷,因此屏幕会失去响应。另一方面,如果使用智能卡进行认证,则用户会在完成认证后立即登录。因此,无法选择除 GNOME Classic 以外的会话。这两个问题均已得到修复。现在,启用此类认证时需要使用智能卡,并且用户可以选择任何其他已安装的会话。
(BZ#1159385、BZ#1163474)

此外,此更新还添加了以下增强:

* 添加了对四重缓冲区 OpenGL 立体视觉的支持。因此,当与具有必要功能的视频驱动程序和硬件配合使用时,可以在 GNOME 桌面中正确地运行和显示使用四重立体缓冲区的 OpenGL 应用程序。(BZ#861507、BZ#1108890、BZ#1108891、BZ#1108893)

建议所有 GNOME Shell 用户升级这些更新后的程序包,其中包含用于修正这些问题的向后移植的修补程序,并且添加了此项增强。

解决方案

更新受影响的数据包。

另见

http://www.nessus.org/u?11b88873

http://www.nessus.org/u?89115c85

http://www.nessus.org/u?d5b78c63

http://www.nessus.org/u?8565fa4e

插件详情

严重性: High

ID: 81898

文件名: centos_RHSA-2015-0535.nasl

版本: 1.7

类型: local

代理: unix

发布时间: 2015/3/18

最近更新时间: 2021/1/4

支持的传感器: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 7.2

矢量: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2014-7300

漏洞信息

CPE: cpe:/o:centos:centos:7, p-cpe:/a:centos:centos:gnome-shell-browser-plugin, p-cpe:/a:centos:centos:cogl-devel, p-cpe:/a:centos:centos:clutter-doc, p-cpe:/a:centos:centos:mutter, p-cpe:/a:centos:centos:cogl-doc, p-cpe:/a:centos:centos:cogl, p-cpe:/a:centos:centos:mutter-devel, p-cpe:/a:centos:centos:clutter-devel, p-cpe:/a:centos:centos:gnome-shell, p-cpe:/a:centos:centos:clutter

必需的 KB 项: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list

补丁发布日期: 2015/3/17

漏洞发布日期: 2014/12/25

参考资料信息

CVE: CVE-2014-7300

RHSA: 2015:0535