製品・ソフトウェアに関する情報

JVN脆弱性詳細

gnome-screensaver で使用される GTK+ の gdk/gdkwindow.c における無人のワークステーションにアクセスされる脆弱性

Title	gnome-screensaver で使用される GTK+ の gdk/gdkwindow.c における無人のワークステーションにアクセスされる脆弱性
Summary	gnome-screensaver で使用される GTK+ の gdk/gdkwindow.c には、GDK_WINDOW_FOREIGN タイプのウィンドウ上で暗黙的なペイントを実行するため、スクリーンロックを迂回し、無人のワークステーションにアクセスされる脆弱性が存在します。
Possible impacts	攻撃者により、特定の環境で X エラーを誘発され、エンターキーを多数連打されることで、スクリーンロックを回避される、および無人のワークステーションにアクセスされる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Jan. 29, 2010, midnight
Registration Date	June 26, 2012, 4:19 p.m.
Last Update	June 26, 2012, 4:19 p.m.

Affected System

GTK+

GTK+ 2.18.45 未満

GNOME Project

gnome-screensaver 2.28.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2010-0732	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0732
National Vulnerability Database (NVD)
2	CVE-2010-0732	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-0732

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-362	https://jvndb.jvn.jp/ja/cwe/CWE-362.html

ベンダー情報

No	Name	URL
GNOME
1	gnome-screensaver	http://git.gnome.org/browse/gnome-screensaver/commit/?id=ab08cc93f2dc6223c8c00bfa1ca4f2d89069dbe0
GTK+
2	Top Page	http://www.gtk.org/

Change Log

No	Changed Details	Date of change
0	[2012年06月26日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2010-0732

Summary	gdk/gdkwindow.c in GTK+ before 2.18.5, as used in gnome-screensaver before 2.28.1, performs implicit paints on windows of type GDK_WINDOW_FOREIGN, which triggers an X error in certain circumstances and consequently allows physically proximate attackers to bypass screen locking and access an unattended workstation by pressing the Enter key many times.
Publication Date	March 20, 2010, 4:30 a.m.
Registration Date	Jan. 29, 2021, 10:57 a.m.
Last Update	Aug. 4, 2023, 2:17 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:gnome:gtk::::::::					2.18.5

Configuration2		or higher	or less	more than	less than
cpe:2.3:a:gnome:screensaver::::::::					2.28.1

Related information, measures and tools

No	URL	refsource	タグ
1	http://www.openwall.com/lists/oss-security/2010/03/16/9	MLIST	Mailing List
2	http://git.gnome.org/browse/gtk+/commit/?id=0748cf563d0d0d03001a62589f13be16a8ec06c1	CONFIRM	Patch
3	http://git.gnome.org/browse/gnome-screensaver/commit/?id=ab08cc93f2dc6223c8c00bfa1ca4f2d89069dbe0	CONFIRM	Patch
4	https://bugzilla.redhat.com/show_bug.cgi?id=565527	CONFIRM	Issue Tracking Patch
5	http://ftp.gnome.org/pub/gnome/sources/gtk+/2.18/gtk+-2.18.5.news	CONFIRM	Vendor Advisory
6	https://bugzilla.gnome.org/show_bug.cgi?id=598476	CONFIRM	Issue Tracking Patch
7	http://www.heise.de/newsticker/meldung/Gnome-Bildschirmsperre-in-OpenSuse-Linux-wirkungslos-2-Update-928580.html	MISC	Third Party Advisory
8	http://www.openwall.com/lists/oss-security/2010/03/05/2	MLIST	Mailing List Patch
9	http://git.gnome.org/browse/gnome-screensaver/commit/?h=gnome-2-28&id=98f8a22412cf388217fd5b88915eadd274d68520	CONFIRM	Vendor Advisory
10	https://bugs.edge.launchpad.net/ubuntu/+source/gnome-screensaver/+bug/446395	CONFIRM	Third Party Advisory
11	http://www.openwall.com/lists/oss-security/2010/02/12/1	MLIST	Mailing List
12	http://lists.opensuse.org/opensuse-security-announce/2010-04/msg00001.html	SUSE	Third Party Advisory
13	http://secunia.com/advisories/39317	SECUNIA	Broken Link
14	http://www.securityfocus.com/bid/38211	BID	Third Party Advisory VDB Entry
15	http://www.mandriva.com/security/advisories?name=MDVSA-2010:109	MANDRIVA	Broken Link

Common Vulnerabilities List