Massenhaft Sicherheitslücken in X.org

27.05.2013

Ein Security-Experte hat im Code von X11-Client-Bibliotheken eine Menge von Fehlern gefunden, die sich unter Umständen von Angreifern ausnutzen lassen.

Der Security-Experte Ilja van Sprundel hat im Code der X11-Client-Bibliotheken von X.org eine ganze Reihe von sicherheitskritischen Fehlern ausgemacht. Das schreibt Alan Coppersmith in einer Mitteilung an die X.org-Entwicklerliste. Der Hauptgrund für die Vielzahl von Schwachstellen liegt darin, dass die Client-Bibliotheken darauf vertrauen, dass die vom X-Server geschickten Daten dem X11-Protokoll genügen und korrekt sind. Tatsächlich lassen sich aber mit manipulierten Daten auch Integer und Buffer Overflows konstruieren.

Meistens ist das kein Problem, denn X-Server und X-Client-Programme laufen mit derselben Benutzer-ID. Allerdings gibt es Sonderfälle wie Set-UID-Programme, mit denen sich eventuell Exploits zur Erlangung von Root-Rechten schreiben lassen. Betroffen sind nach Meinung von X.org alle bisherigen Software-Versionen bis zur aktuellen. Patches für den Quellcode gibt es auf der Seite http://www.x.org/wiki/Development/Security/Advisory-2013-05-23.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

30c3: Sicherheit bei X.org unter Linux mangelhaft

Beim Chaos Communications Congress legt ein Sicherheitsforscher der Firma IOActive zahlreiche konkrete, aber auch konzeptuelle Sicherheitsmängel von X.org, dem Standardgrafikserver unter Linux, offen.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2020