製品・ソフトウェアに関する情報

JVN脆弱性詳細

Clutter の x11/clutter-device-manager-xi2.c における以前の gnome-shell セッションにアクセスされる脆弱性

タイトル	Clutter の x11/clutter-device-manager-xi2.c における以前の gnome-shell セッションにアクセスされる脆弱性
概要	Clutter の x11/clutter-device-manager-xi2.c の translate_hierarchy_event 関数は、システムを再開時に、デバイスが "disappeared" 状態である場合、XIQueryDevice エラーを適切に処理しないため、gnome-shell のクラッシュを引き起こされ、古い gnome-shell セッションにアクセスされる脆弱性が存在します。
想定される影響	物理的に端末の操作が可能な攻撃者により、古い gnome-shell セッションにアクセスされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2013年6月11日0:00
登録日	2013年10月21日19:01
最終更新日	2013年10月21日19:01

影響を受けるシステム

Novell

openSUSE 12.2

openSUSE 12.3

Clutter Project

Clutter

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-2190	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2190
National Vulnerability Database (NVD)
2	CVE-2013-2190	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2190

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	名前	URL
Clutter Project
1	Top Page	http://blogs.gnome.org/clutter/
GNOME
2	x11: trap errors when calling XIQueryDevice (79d74e)	https://git.gnome.org/browse/clutter/commit/?h=clutter-1.14&id=e310c68d7b38d521e341f4e8a36f54303079d74e
3	x11: trap errors when calling XIQueryDevice (88b1ab)	https://git.gnome.org/browse/clutter/commit/?h=clutter-1.16&id=d343cc6289583a7b0d929b82b740499ed588b1ab
GNOME Bugzilla
4	Bug 701974	https://bugzilla.gnome.org/show_bug.cgi?id=701974
opensuse-updates
5	openSUSE-SU-2013:1540	http://lists.opensuse.org/opensuse-updates/2013-10/msg00014.html
Red Hat Bugzilla
6	Bug 980111	https://bugzilla.redhat.com/show_bug.cgi?id=980111

変更履歴

No	変更内容	変更日
0	[2013年10月21日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2013-2190

概要	The translate_hierarchy_event function in x11/clutter-device-manager-xi2.c in Clutter, when resuming the system, does not properly handle XIQueryDevice errors when a device has "disappeared," which causes the gnome-shell to crash and allows physically proximate attackers to access the previous gnome-shell session via unspecified vectors.
公表日	2013年10月18日8:55
登録日	2021年1月26日15:38
最終更新日	2024年11月21日10:51

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:clutter_project:clutter:-:::::::*

関連情報、対策とツール

No	URL	タグ
1	http://lists.opensuse.org/opensuse-updates/2013-10/msg00014.html	Vendor Advisory
2	http://lists.opensuse.org/opensuse-updates/2013-10/msg00014.html	Vendor Advisory
3	http://www.openwall.com/lists/oss-security/2013/06/19/1
4	http://www.openwall.com/lists/oss-security/2013/06/19/1
5	https://bugzilla.gnome.org/show_bug.cgi?id=701974
6	https://bugzilla.gnome.org/show_bug.cgi?id=701974
7	https://bugzilla.redhat.com/show_bug.cgi?id=980111
8	https://bugzilla.redhat.com/show_bug.cgi?id=980111
9	https://git.gnome.org/browse/clutter/commit/?h=clutter-1.14&id=e310c68d7b38d521e341f4e8a36f54303079d74e	Exploit Patch
10	https://git.gnome.org/browse/clutter/commit/?h=clutter-1.14&id=e310c68d7b38d521e341f4e8a36f54303079d74e	Exploit Patch
11	https://git.gnome.org/browse/clutter/commit/?h=clutter-1.16&id=d343cc6289583a7b0d929b82b740499ed588b1ab
12	https://git.gnome.org/browse/clutter/commit/?h=clutter-1.16&id=d343cc6289583a7b0d929b82b740499ed588b1ab

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html