製品・ソフトウェアに関する情報

JVN脆弱性詳細

X.Org Server におけるサービス運用妨害 (DoS) の脆弱性

Title	X.Org Server におけるサービス運用妨害 (DoS) の脆弱性
Summary	X.Org Server (別名 xserver および xorg-server) には、サービス運用妨害 (out-of-bounds read または out-of-bounds write) 状態にされる、または任意のコードを実行される脆弱性が存在します。
Possible impacts	リモート認証されたユーザにより、(a) DRI3 エクステンションまたは (b) Present エクステンションの以下の関数に対する巧妙に細工された length 値または index 値を介して、サービス運用妨害 (out-of-bounds read または out-of-bounds write) 状態にされる、または任意のコードを実行される可能性があります。 (1) sproc_dri3_query_version (2) sproc_dri3_open (3) sproc_dri3_pixmap_from_buffer (4) sproc_dri3_buffer_from_pixmap (5) sproc_dri3_fence_from_fd (6) sproc_dri3_fd_from_fence (7) proc_present_query_capabilities (8) sproc_present_query_version (9) sproc_present_pixmap (10) sproc_present_notify_msc (11) sproc_present_select_input (12) sproc_present_query_capabilities
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Dec. 9, 2014, midnight
Registration Date	Dec. 15, 2014, 7:10 p.m.
Last Update	Jan. 30, 2015, 3:42 p.m.

Affected System

オラクル

Oracle Solaris 10

Oracle Solaris 11.2

X.Org Foundation

X.Org Server 1.15.0 から 1.16.3 未満の 1.16.x

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-8103	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8103
National Vulnerability Database (NVD)
2	CVE-2014-8103	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8103

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-119	https://jvndb.jvn.jp/ja/cwe/CWE-119.html

ベンダー情報

No	Name	URL
Oracle Technology Network
1	Oracle Third Party Bulletin - January 2015	http://www.oracle.com/technetwork/topics/security/bulletinjan2015-2370101.html
X.Org Security Advisory
2	Advisory-2014-12-09	http://www.x.org/wiki/Development/Security/Advisory-2014-12-09/

Change Log

No	Changed Details	Date of change
0	[2014年12月15日] 掲載 [2015年01月30日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：オラクル (Oracle Third Party Bulletin - January 2015) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2014-8103

Summary	X.Org Server (aka xserver and xorg-server) 1.15.0 through 1.16.x before 1.16.3 allows remote authenticated users to cause a denial of service (out-of-bounds read or write) or possibly execute arbitrary code via a crafted length or index value to the (1) sproc_dri3_query_version, (2) sproc_dri3_open, (3) sproc_dri3_pixmap_from_buffer, (4) sproc_dri3_buffer_from_pixmap, (5) sproc_dri3_fence_from_fd, (6) sproc_dri3_fd_from_fence, (7) proc_present_query_capabilities, (8) sproc_present_query_version, (9) sproc_present_pixmap, (10) sproc_present_notify_msc, (11) sproc_present_select_input, or (12) sproc_present_query_capabilities function in the (a) DRI3 or (b) Present extension.
Publication Date	Dec. 11, 2014, 12:59 a.m.
Registration Date	Jan. 26, 2021, 3:19 p.m.
Last Update	Nov. 21, 2024, 11:18 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://secunia.com/advisories/61947
2	http://secunia.com/advisories/61947
3	http://www.oracle.com/technetwork/topics/security/bulletinjan2015-2370101.html
4	http://www.oracle.com/technetwork/topics/security/bulletinjan2015-2370101.html
5	http://www.x.org/wiki/Development/Security/Advisory-2014-12-09/	Patch Vendor Advisory
6	http://www.x.org/wiki/Development/Security/Advisory-2014-12-09/	Patch Vendor Advisory
7	https://security.gentoo.org/glsa/201504-06
8	https://security.gentoo.org/glsa/201504-06

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-119	バッファエラー	https://cwe.mitre.org/data/definitions/118.html