NVD Vulnerability Detail

CVE-2007-1859

Summary	XScreenSaver 4.10, when using a remote directory service for credentials, does not properly handle the results from the getpwuid function in drivers/lock.c when there is no network connectivity, which causes XScreenSaver to crash and unlock the screen and allows local users to bypass authentication.
Publication Date	May 3, 2007, 5:19 a.m.
Registration Date	Jan. 29, 2021, 2:10 p.m.
Last Update	Oct. 11, 2017, 10:32 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:xscreensaver:xscreensaver:4.10:::::::*

Related information, measures and tools

No	URL	refsource	タグ
1	http://osvdb.org/35531	OSVDB
2	http://secunia.com/advisories/25065	SECUNIA	Vendor Advisory
3	http://secunia.com/advisories/25105	SECUNIA	Vendor Advisory
4	http://secunia.com/advisories/25116	SECUNIA	Vendor Advisory
5	http://secunia.com/advisories/25118	SECUNIA	Vendor Advisory
6	http://secunia.com/advisories/25119	SECUNIA	Vendor Advisory
7	http://secunia.com/advisories/25225	SECUNIA	Vendor Advisory
8	http://secunia.com/advisories/25610	SECUNIA
9	http://security.gentoo.org/glsa/glsa-200705-14.xml	GENTOO
10	http://www.mandriva.com/security/advisories?name=MDKSA-2007:097	MANDRIVA
11	http://www.novell.com/linux/security/advisories/2007_9_sr.html	SUSE
12	http://www.redhat.com/support/errata/RHSA-2007-0322.html	REDHAT	Patch Vendor Advisory
13	http://www.securityfocus.com/bid/23783	BID
14	http://www.securitytracker.com/id?1017996	SECTRACK
15	http://www.ubuntu.com/usn/usn-474-1	UBUNTU
16	https://exchange.xforce.ibmcloud.com/vulnerabilities/34054	XF
17	https://issues.rpath.com/browse/RPL-1293	CONFIRM
18	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A11459	OVAL

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-287	不適切な認証	https://cwe.mitre.org/data/definitions/287.html

JVN Vulnerability Information

XScreenSaver のクラッシュによりスクリーンロックが解除される問題

Title	XScreenSaver のクラッシュによりスクリーンロックが解除される問題
Summary	XScreenSaver には、ログイン認証にリモートのディレクトリサービスを利用するシステムにおいて、ネットワーク接続を不可能にすることで XScreenSaver がクラッシュしスクリーンロックを解除できる問題があります。
Possible impacts	悪意あるローカルユーザにより、スクリーンロックが解除されてしまい、認証を回避してさらなる攻撃が行われる可能性があります。
Solution	ベンダより正式な対策が公開されています (XScreenSaver 5.0.2 で修正済み)。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 3, 2007, midnight
Registration Date	May 24, 2007, 2:12 p.m.
Last Update	May 14, 2014, 6:41 p.m.

Affected System

レッドハット

Red Hat Enterprise Linux 2.1 (as)

Red Hat Enterprise Linux 2.1 (es)

Red Hat Enterprise Linux 2.1 (ws)

Red Hat Enterprise Linux 3 (as)

Red Hat Enterprise Linux 3 (es)

Red Hat Enterprise Linux 3 (ws)

Red Hat Enterprise Linux 4 (as)

Red Hat Enterprise Linux 4 (es)

Red Hat Enterprise Linux 4 (ws)

Red Hat Enterprise Linux Desktop 3.0

Red Hat Enterprise Linux Desktop 4.0

Red Hat Linux Advanced Workstation 2.1

サイバートラスト株式会社

Asianux Server 2.0

Asianux Server 2.1

XScreenSaver project

XScreenSaver 5.0.2 未満のバージョン

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2007-1859	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1859
National Vulnerability Database (NVD)
2	CVE-2007-1859	http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-1859
SECURITY BLOG
3	CVE-2007-1859 Improper Authentication vulnerability in XScreenSaver	https://blogs.oracle.com/sunsecurity/entry/cve_2007_1859_improper_authentication

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-287	https://jvndb.jvn.jp/ja/cwe/CWE-287.html

ベンダー情報

No	Name	URL
MIRACLE LINUX アップデート情報
1	xscreensaver (V2.x)	http://www.miraclelinux.com/support/update/list.php?errata_id=1014
Red Hat Security Advisory
2	RHSA-2007:0322	http://www.redhat.com/support/errata/RHSA-2007-0322.html
XScreenSaver
3	Top Page	http://www.jwz.org/xscreensaver/
レッドハットセキュリティーアップデート
4	RHSA-2007:0322	http://www.jp.redhat.com/support/errata/RHSA/RHSA-2007-0322J.html

その他

No	Name	URL
ISS X-Force Database
1	34054	http://xforce.iss.net/xforce/xfdb/34054
Secunia Advisory
2	SA25065	http://secunia.com/advisories/25065/
SecurityFocus
3	23783	http://www.securityfocus.com/bid/23783
SecurityTracker
4	1017996	http://www.securitytracker.com/id?1017996

Change Log

No	Changed Details	Date of change
0	[2007年05月24日] 掲載 [2014年05月14日] ベンダ情報：オラクル (CVE-2007-1859 Improper Authentication vulnerability in XScreenSaver) を追加	Feb. 17, 2018, 10:37 a.m.