Massenhaft Sicherheitslücken in X.org

27.05.2013

Ein Security-Experte hat im Code von X11-Client-Bibliotheken eine Menge von Fehlern gefunden, die sich unter Umständen von Angreifern ausnutzen lassen.

Der Security-Experte Ilja van Sprundel hat im Code der X11-Client-Bibliotheken von X.org eine ganze Reihe von sicherheitskritischen Fehlern ausgemacht. Das schreibt Alan Coppersmith in einer Mitteilung an die X.org-Entwicklerliste. Der Hauptgrund für die Vielzahl von Schwachstellen liegt darin, dass die Client-Bibliotheken darauf vertrauen, dass die vom X-Server geschickten Daten dem X11-Protokoll genügen und korrekt sind. Tatsächlich lassen sich aber mit manipulierten Daten auch Integer und Buffer Overflows konstruieren.

Meistens ist das kein Problem, denn X-Server und X-Client-Programme laufen mit derselben Benutzer-ID. Allerdings gibt es Sonderfälle wie Set-UID-Programme, mit denen sich eventuell Exploits zur Erlangung von Root-Rechten schreiben lassen. Betroffen sind nach Meinung von X.org alle bisherigen Software-Versionen bis zur aktuellen. Patches für den Quellcode gibt es auf der Seite http://www.x.org/wiki/Development/Security/Advisory-2013-05-23.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

30c3: Sicherheit bei X.org unter Linux mangelhaft

Beim Chaos Communications Congress legt ein Sicherheitsforscher der Firma IOActive zahlreiche konkrete, aber auch konzeptuelle Sicherheitsmängel von X.org, dem Standardgrafikserver unter Linux, offen.

Artikel der Woche

Loadtests ohne Server

Für Loadtests der eigenen Server bietet sich die Cloud an, denn kurz getaktet lassen sich dort viele Rechnerinstanzen starten, die das eigene Budget nur wenig belasten. Noch flexibler, günstiger und besser skalierbar sind Tests mit einer Serverless-Infrastruktur wie AWS Lambda. Wir führen vor, wie Sie dort mit Serverless Artillery eigene Loadtests starten. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018