パスワードを忘れた? アカウント作成
11822844 story
X

X11リリース当初から存在する脆弱性など、13件のCVEをX.Orgが公表 11

ストーリー by headless
昭和 部門より
X.Orgは9日、Xサーバーに関する13件のCVE(CVE-2014-8091~8103)を含むセキュリティアドバイザリ―を公開した(X.Org Security Advisory: Dec. 9, 2014Phoronixの記事The Registerの記事本家/.)。

これらの脆弱性を悪用することで、初期化されていないメモリー領域へのアクセスや、任意のメモリー領域への上書きがXサーバーのプロセス内で可能となり、DoSや任意のコード実行を引き起こす可能性がある。脆弱性はそれぞれ影響を受ける関数が導入された当初から存在していたとのことで、最も古いものは1987年にリリースされたX11R1から存在するという。修正パッチは現在、Gitで提供されており、xorg-server-1.17.0およびxorg-server-1.16.3のリリースに含まれる予定とのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2014年12月13日 15時32分 (#2727624)

    GUIこみでインストールしても普段はランレベルを下げてないと脆弱だったということでしょうか?
    教えてエロイ人!

    • by Anonymous Coward

      今時Xがrootで動いているような古くさい化石みたいなOSを使うのは危険ってこと

      • Xサーバはroot権限で起動する場合が多いと思います
        GPU等のグラフィックボート,キーボード,マウス等のデバイスへアクセスするためにはroot権限が必要だからです

        一方,ウインドウマネージャ等のXクライアントは,root権限ではなく,一般ユーザー権限で動かします.
        XクライアントはXサーバと通信することで,画面に絵を出したり,押下されたキーを読み取ることになります

        ですので,脆弱性があるX11が起動している状態なら,脆弱性を悪用した通信を行なうことで
        一般ユーザでもXサーバ経由でルート権限が奪える可能性はあります.

        X11が不要であれば,X11は起動しない方がセキュリティは高くなると思います

        親コメント
        • by Anonymous Coward

          suid されていて、起動時に認証があるわけでもないので、起動していなくてもセキュリティは高くならないでしょう。
          ってのと、元コメは X11 自体に否定的か、あるいは http://wiki.gentoo.org/wiki/Non_root_Xorg [gentoo.org] この辺の話をしたいのかもしれません。

          • by Anonymous Coward

            少なくとも debian系は suid していませんよ

  • 不要になったら公開して回収するのだから良心的だねw

    • by Anonymous Coward

      教えてくれ、「脆弱性は不要」ってわざわざ言うのはどういう意味だ?脆弱性はもともと必要ないんだけど。

      • by Anonymous Coward

        言葉足らずすぎてよくわかりませんが、NSAだかCIAだかの陰謀論を言ってるのかも。

        • by Anonymous Coward

          それだと回収するってところが合わないな
          ここのところ何のことだか意味不明の書き込みが連発されてるのは同一人物ではないだろうか

typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...