Massenhaft Sicherheitslücken in X.org

27.05.2013

Ein Security-Experte hat im Code von X11-Client-Bibliotheken eine Menge von Fehlern gefunden, die sich unter Umständen von Angreifern ausnutzen lassen.

Der Security-Experte Ilja van Sprundel hat im Code der X11-Client-Bibliotheken von X.org eine ganze Reihe von sicherheitskritischen Fehlern ausgemacht. Das schreibt Alan Coppersmith in einer Mitteilung an die X.org-Entwicklerliste. Der Hauptgrund für die Vielzahl von Schwachstellen liegt darin, dass die Client-Bibliotheken darauf vertrauen, dass die vom X-Server geschickten Daten dem X11-Protokoll genügen und korrekt sind. Tatsächlich lassen sich aber mit manipulierten Daten auch Integer und Buffer Overflows konstruieren.

Meistens ist das kein Problem, denn X-Server und X-Client-Programme laufen mit derselben Benutzer-ID. Allerdings gibt es Sonderfälle wie Set-UID-Programme, mit denen sich eventuell Exploits zur Erlangung von Root-Rechten schreiben lassen. Betroffen sind nach Meinung von X.org alle bisherigen Software-Versionen bis zur aktuellen. Patches für den Quellcode gibt es auf der Seite http://www.x.org/wiki/Development/Security/Advisory-2013-05-23.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

30c3: Sicherheit bei X.org unter Linux mangelhaft

Beim Chaos Communications Congress legt ein Sicherheitsforscher der Firma IOActive zahlreiche konkrete, aber auch konzeptuelle Sicherheitsmängel von X.org, dem Standardgrafikserver unter Linux, offen.

Artikel der Woche

Setup eines Kubernetes-Clusters mit Kops

Vor allem für Testinstallationen von Kubernetes gibt es einige Lösungen wie Kubeadm und Minikube. Für das Setup eines Kubernetes-Clusters in Cloud-Umgebungen hat sich Kops als Mittel der Wahl bewährt. Wir beschreiben seine Fähigkeiten und geben eine Anleitung für den praktischen Einsatz. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite