JVNDB-2011-001463

X.Org の xrdb.c における任意のコマンドを実行される脆弱性

X.Org の xrdb 内にある xrdb.c には、任意のコマンドを実行される脆弱性が存在します。

X.Org Foundation

• X.Org X11 R7.6 1.0.9 未満

ミラクル・リナックス

• Asianux Server 3 (x86) 
• Asianux Server 3 (x86-64) 
• Asianux Server 4.0 
• Asianux Server 4.0 (x86-64) 

レッドハット

• Red Hat Enterprise Linux 4 (as) 
• Red Hat Enterprise Linux 4.8 (as) 
• Red Hat Enterprise Linux 4 (es) 
• Red Hat Enterprise Linux 4.8 (es) 
• Red Hat Enterprise Linux 4 (ws) 
• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux Desktop 4.0 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• Red Hat Enterprise Linux Desktop 6 
• Red Hat Enterprise Linux HPC Node 6 
• Red Hat Enterprise Linux Long Life (v. 5.6 server)
• Red Hat Enterprise Linux Server 6 
• Red Hat Enterprise Linux Workstation 6 

第三者により、DHCP または XDMCP メッセージから取得されるホスト名のメタ文字を介して、任意のコマンドを実行される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

X.Org Foundation

• ANNOUNCE : xrdb 1.0.9
• ANNOUNCE : X.Org security advisory: root hole via rogue hostname
• X.Org Foundation : CVE-2011-0465

オラクル

• SECURITY BLOG : CVE-2011-0465 Improper Input Validation vulnerability in X.Org

ミラクル・リナックス

• Asianux Technical Support Network : xorg-x11-server-utils-7.1-5.AXS3.1
• MIRACLE LINUX アップデート情報 : 2213

レッドハット

• Red Hat Security Advisory : RHSA-2011:0432
• Red Hat Security Advisory : RHSA-2011:0433

1. 不適切な入力確認(CWE-20) [NVD評価]

1. CVE-2011-0465

1. National Vulnerability Database (NVD) : CVE-2011-0465
2. Secunia Advisory : SA44040
3. Secunia Advisory : SA44122
4. SecurityFocus : 47189
5. ISS X-Force Database : 66585
6. SecurityTracker : 1025317
7. VUPEN Security : VUPEN/ADV-2011-0880
8. VUPEN Security : VUPEN/ADV-2011-0966

• [2011年04月28日]
    掲載
  [2011年05月30日]
    影響を受けるシステム：ミラクル・リナックス (2213) の情報を更新
    ベンダ情報：ミラクル・リナックス (2213) を更新
  [2012年04月17日]
    ベンダ情報：オラクル (CVE-2011-0465 Improper Input Validation vulnerability in X.Org) を追加