GNOMEでは1クリックでのリモートコード実行につながるlibcueの脆弱性が修正される 9
ストーリー by nagazou
修正 部門より
修正 部門より
headless 曰く、
CD のトラック情報を格納した CUE シートを処理する libcue の 2.2.1 までのバージョンで配列範囲外へのアクセスに対する脆弱性 (CVE-2023-43641) が見つかり、バージョン 2.3.0 で修正された (The GitHub Blog の記事、 Ars Technica の記事)。
この脆弱性は CUE シート (.cue) の INDEX 文の処理に関するバグによるもので、攻撃者は細工した INDEX 文を含めることでコード実行が可能になる。これにより、GNOME では 1 クリックでのリモートコード実行につながるという。
GNOME ユーザーがウェブサイトのダウンロードリンクをクリックするとファイルが「~/Downloads」に保存され、ファイルのインデックス生成のため tracker-miners によるスキャンが自動的に行われる。ダウンロードされたファイルが CUE シートの場合は解析に libcue が用いられるため、INDEX 文が細工されていればリモートからコードを実行される結果となる。
そのため特に GNOME ユーザーに対し、なるべく早い更新が呼びかけられている。
GNOME使ってんのに、どうしてワイのPCにlibcue入ってないのかと思ったら (スコア:1)
libcueに依存してるのは、GNOMEっつーかTrackerの方なのね
Trackerにしろ、Strigiにしろ、NEPOMUKにしろ、Spotlightにしろ、Windows Indexing Serviceにしろ
その手のサービスは全部オフにしてるし、なんならTrackerに至っては即効アンインストールしてたわ
「GNOMEでは」とかって紛らわしい書き方しやがって
デスクトップ検索エンジンの脆弱性じゃねーか
Re: (スコア:0)
GNOMEのライブラリの一つに脆弱性があることは分かっても、それを使ってるアプリや、それに依存する設定を、サードパーティを含めて全部列挙するのは不可能だからしょうがないですね。
本トピックにあるように、具体的な危険性をひとつあげるくらいが精一杯でしょう。
Re: (スコア:0)
recollに流れ弾を当てるのはやめて。
MAC (スコア:0)
MACでガチガチに固めてれば問題なかったんだろうけど、メジャーなディストロはどれくらいMAC設定されてるんだろう?
Re: (スコア:0)
なんか変な勘違いコメントにも見えるけど君の言うMACって何の略な奴?
GNOMEアプリはいくつか使っているが (スコア:0)
$ dpkg -l | grep -ic libcue
0
とりあえずは安心のLXDEユーザーでした。
Re: (スコア:0)
$ rpm -q libcue
libcue-2.2.1-13.fc38.x86_64
で、脆弱性ありなのかよ 2,3日前にアップデートがあったのに、と思ったが、
$ rpm -q --changelog libcue | head -2
* 火 10月 10 2023 Adam Williamson - 2.2.1-13
- Fix CVE-2023-43641 (Kevin Backhouse)
と、fix されていた。
Re: (スコア:0)
Debian stable(bookworm)も対策済ですね。
https://metadata.ftp-master.debian.org/changelogs//main/libc/libcue/li... [debian.org]
libcue (2.2.1-4+deb12u1) bookworm-security; urgency=medium
* CVE-2023-43641
-- Moritz Mühlenhoff Tue, 10 Oct 2023 01:01:10 +0200