NVD脆弱性詳細

CVE-2014-8100

概要	The Render extension in XFree86 4.0.1, X.Org X Window System (aka X11 or X) X11R6.7, and X.Org Server (aka xserver and xorg-server) before 1.16.3 allows remote authenticated users to cause a denial of service (out-of-bounds read or write) or possibly execute arbitrary code via a crafted length or index value to the (1) ProcRenderQueryVersion, (2) SProcRenderQueryVersion, (3) SProcRenderQueryPictFormats, (4) SProcRenderQueryPictIndexValues, (5) SProcRenderCreatePicture, (6) SProcRenderChangePicture, (7) SProcRenderSetPictureClipRectangles, (8) SProcRenderFreePicture, (9) SProcRenderComposite, (10) SProcRenderScale, (11) SProcRenderCreateGlyphSet, (12) SProcRenderReferenceGlyphSet, (13) SProcRenderFreeGlyphSet, (14) SProcRenderFreeGlyphs, or (15) SProcRenderCompositeGlyphs function.
公表日	2014年12月11日0:59
登録日	2021年1月26日15:19
最終更新日	2024年11月21日11:18

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:x.org:xfree86:4.0.1:::::::*

構成2		以上	以下	より上	未満
cpe:2.3:a:x.org:xorg-server::::::::			1.16.2.99.901

構成3		以上	以下	より上	未満
cpe:2.3:a:x.org:x11:6.7:::::::*

関連情報、対策とツール

No	URL	タグ
1	http://advisories.mageia.org/MGASA-2014-0532.html
2	http://advisories.mageia.org/MGASA-2014-0532.html
3	http://secunia.com/advisories/61947
4	http://secunia.com/advisories/61947
5	http://secunia.com/advisories/62292
6	http://secunia.com/advisories/62292
7	http://www.debian.org/security/2014/dsa-3095
8	http://www.debian.org/security/2014/dsa-3095
9	http://www.mandriva.com/security/advisories?name=MDVSA-2015:119
10	http://www.mandriva.com/security/advisories?name=MDVSA-2015:119
11	http://www.oracle.com/technetwork/topics/security/bulletinjan2015-2370101.html
12	http://www.oracle.com/technetwork/topics/security/bulletinjan2015-2370101.html
13	http://www.oracle.com/technetwork/topics/security/bulletinoct2015-2511968.html
14	http://www.oracle.com/technetwork/topics/security/bulletinoct2015-2511968.html
15	http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html
16	http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html
17	http://www.securityfocus.com/bid/71602
18	http://www.securityfocus.com/bid/71602
19	http://www.x.org/wiki/Development/Security/Advisory-2014-12-09/	Patch Vendor Advisory
20	http://www.x.org/wiki/Development/Security/Advisory-2014-12-09/	Patch Vendor Advisory
21	https://security.gentoo.org/glsa/201504-06
22	https://security.gentoo.org/glsa/201504-06

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-119	バッファエラー	https://cwe.mitre.org/data/definitions/118.html

JVN脆弱性情報

複数の X.Org 製品の Render エクステンションにおけるサービス運用妨害 (DoS) の脆弱性

タイトル	複数の X.Org 製品の Render エクステンションにおけるサービス運用妨害 (DoS) の脆弱性
概要	XFree86、X.Org X Window System (別名 X11 または X)、および X.Org Server (別名 xserver および xorg-server) の Render エクステンションには、サービス運用妨害 (out-of-bounds read および out-of-bounds write) 状態にされる、または任意のコードを実行される脆弱性が存在します。
想定される影響	リモート認証されたユーザにより、以下の関数に対する巧妙に細工された length 値または index 値を介して、サービス運用妨害 (out-of-bounds read および out-of-bounds write) 状態にされる、または任意のコードを実行される可能性があります。 (1) ProcRenderQueryVersion (2) SProcRenderQueryVersion (3) SProcRenderQueryPictFormats (4) SProcRenderQueryPictIndexValues (5) SProcRenderCreatePicture (6) SProcRenderChangePicture (7) SProcRenderSetPictureClipRectangles (8) SProcRenderFreePicture (9) SProcRenderComposite (10) SProcRenderScale (11) SProcRenderCreateGlyphSet (12) SProcRenderReferenceGlyphSet (13) SProcRenderFreeGlyphSet (14) SProcRenderFreeGlyphs (15) SProcRenderCompositeGlyphs
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2014年12月9日0:00
登録日	2014年12月15日19:04
最終更新日	2015年11月6日15:19

影響を受けるシステム

オラクル

Oracle Virtualization の Oracle Secure Global Desktop 4.63

Oracle Virtualization の Oracle Secure Global Desktop 4.71

Oracle Virtualization の Oracle Secure Global Desktop 5.1

Oracle Virtualization の Oracle Secure Global Desktop 5.2

XFree86 Project

XFree86 4.0.1

X.Org Foundation

X Window System X11R6.7

X.Org Server 1.16.3 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-8100	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8100
National Vulnerability Database (NVD)
2	CVE-2014-8100	https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8100

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-119	https://jvndb.jvn.jp/ja/cwe/CWE-119.html

ベンダー情報

No	名前	URL
Oracle Critical Patch Update
1	Oracle Critical Patch Update Advisory - July 2015	http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html
2	Text Form of Oracle Critical Patch Update - July 2015 Risk Matrices	http://www.oracle.com/technetwork/topics/security/cpujul2015verbose-2367947.html
Oracle Technology Network
3	Oracle Solaris Third Party Bulletin - October 2015	http://www.oracle.com/technetwork/topics/security/bulletinoct2015-2511968.html
SECURITY BLOG
4	July 2015 Critical Patch Update Released	https://blogs.oracle.com/security/entry/july_2015_critical_patch_update
X.Org Security Advisory
5	Advisory-2014-12-09	http://www.x.org/wiki/Development/Security/Advisory-2014-12-09/
XFree86
6	Top Page	http://www.xfree86.org/

その他

No	名前	URL
関連文書
1	MGASA-2014-0532	http://advisories.mageia.org/MGASA-2014-0532.html

変更履歴

No	変更内容	変更日
0	[2014年12月15日] 掲載 [2015年06月04日] 参考情報：関連文書 (MGASA-2014-0532) を追加 [2015年07月29日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - July 2015) を追加ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - July 2015 Risk Matrices) を追加ベンダ情報：オラクル (July 2015 Critical Patch Update Released) を追加 [2015年11月06日] ベンダ情報：オラクル (Oracle Solaris Third Party Bulletin - October 2015) を追加	2018年2月17日10:37