製品・ソフトウェアに関する情報

JVN脆弱性詳細

X.org libXt における初期化されていないポインタの使用およびメモリ破損を誘発される脆弱性

Title	X.org libXt における初期化されていないポインタの使用およびメモリ破損を誘発される脆弱性
Summary	X.org libXt は、XGetWindowProperty 関数の戻り値をチェックしないため、初期化されていないポインタの使用およびメモリ破損を誘発される脆弱性が存在します。
Possible impacts	X Server により、以下の関数を介して、初期化されていないポインタの使用およびメモリ破損を誘発される可能性があります。 (1) ReqCleanup 関数 (2) HandleSelectionEvents 関数 (3) ReqTimedOut 関数 (4) HandleNormal 関数 (5) HandleSelectionReplies 関数
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 23, 2013, midnight
Registration Date	June 18, 2013, 3:39 p.m.
Last Update	Nov. 28, 2013, 5:55 p.m.

Affected System

X.Org Foundation

libXt 1.1.3 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-2005	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2005
National Vulnerability Database (NVD)
2	CVE-2013-2005	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2005

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-119	https://jvndb.jvn.jp/ja/cwe/CWE-119.html

ベンダー情報

No	Name	URL
Debian Security Advisory
1	DSA-2680	http://www.debian.org/security/2013/dsa-2680
Fedora Update Notification
2	FEDORA-2013-9098	http://lists.fedoraproject.org/pipermail/package-announce/2013-May/106785.html
opensuse-updates
3	openSUSE-SU-2013:1008	http://lists.opensuse.org/opensuse-updates/2013-06/msg00138.html
SECURITY BLOG
4	Multiple vulnerabilities in X.org	https://blogs.oracle.com/sunsecurity/entry/multiple_vulnerabilities_in_x_org1
Ubuntu Security Notice
5	USN-1865-1	http://www.ubuntu.com/usn/USN-1865-1
X.Org Security Advisory
6	Advisory-2013-05-23	http://www.x.org/wiki/Development/Security/Advisory-2013-05-23

Change Log

No	Changed Details	Date of change
0	[2013年06月18日] 掲載 [2013年07月03日] ベンダ情報：Ubuntu (USN-1865-1) を追加ベンダ情報：Debian (DSA-2680) を追加ベンダ情報：Novell (openSUSE-SU-2013:1008) を追加 [2013年10月31日] ベンダ情報：オラクル (Multiple vulnerabilities in X.org) を追加 [2013年11月28日] ベンダ情報：Fedora Project (FEDORA-2013-9098) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2013-2005

Summary	X.org libXt 1.1.3 and earlier does not check the return value of the XGetWindowProperty function, which allows X servers to trigger use of an uninitialized pointer and memory corruption via vectors related to the (1) ReqCleanup, (2) HandleSelectionEvents, (3) ReqTimedOut, (4) HandleNormal, and (5) HandleSelectionReplies functions.
Publication Date	June 16, 2013, 5:55 a.m.
Registration Date	Jan. 26, 2021, 3:37 p.m.
Last Update	Nov. 21, 2024, 10:50 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://lists.fedoraproject.org/pipermail/package-announce/2013-May/106785.html
2	http://lists.fedoraproject.org/pipermail/package-announce/2013-May/106785.html
3	http://lists.opensuse.org/opensuse-updates/2013-06/msg00138.html
4	http://lists.opensuse.org/opensuse-updates/2013-06/msg00138.html
5	http://www.debian.org/security/2013/dsa-2680
6	http://www.debian.org/security/2013/dsa-2680
7	http://www.openwall.com/lists/oss-security/2013/05/23/3
8	http://www.openwall.com/lists/oss-security/2013/05/23/3
9	http://www.securityfocus.com/bid/60133
10	http://www.securityfocus.com/bid/60133
11	http://www.ubuntu.com/usn/USN-1865-1
12	http://www.ubuntu.com/usn/USN-1865-1
13	http://www.x.org/wiki/Development/Security/Advisory-2013-05-23	Vendor Advisory
14	http://www.x.org/wiki/Development/Security/Advisory-2013-05-23	Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-119	バッファエラー	https://cwe.mitre.org/data/definitions/118.html