X.Org Server-ben lévő biztonsági hiba

kami911 képe
Beküldte kami911 -

Az X.Org Server projekt csapata bejelentette a CVE-2023-0494 (ZDI-CAN-19596) hiba javítását, amely a X.Org Server DeepCopyPointerClasses use-after-free hibát javítja. Ezzel a problémával helyi jogosultságszint emelést érhez el a rosszindulatú felhasználó az X szervert futtató rendszereken, valamint távoli kódvégrehajtást ssh X továbbító munkamenetek esetén. A javítás már elérhető, célszerű mihamarabb telepíteni.

Ez a sebezhetőség lehetővé teszi a helyi támadók számára, hogy az X.Org Server érintett telepítésein növeljék a jogosultságokat. A sebezhetőség kihasználásához a támadónak először alacsony jogosultságú kódot kell futtatnia a célrendszeren.

A konkrét hiba a DeepCopyPointerClasses függvényben található. A hiba abból adódik, hogy az objektum létezését az objektumon végzett műveletek végrehajtása előtt nem ellenőrzik. A támadó kihasználhatja ezt a sebezhetőséget a jogosultságok kiterjesztésére és tetszőleges kód futtatására a root jogosultsággal.

Hozzászólások

kimarite képe

Frissült

Beküldte kimarite -

Értékelés: 

0
Még nincs értékelve
Upgrade: xserver-xorg-core:amd64 (2:1.20.11-1+deb11u4, 2:1.20.11-1+deb11u5), libqt6network6:amd64 (6.3.1+dfsg-9~bpo11+2, 6.4.2+dfsg-1~bpo11+2), qt6-gtk-platformtheme:amd64 (6.3.1+dfsg-9~bpo11+2, 6.4.2+dfsg-1~bpo11+2), gir1.2-javascriptcoregtk-4.0:amd64 (2.38.3-1~deb11u1, 2.38.4-2~deb11u1), gir1.2-webkit2-4.0:amd64 (2.38.3-1~deb11u1, 2.38.4-2~deb11u1), libqt6dbus6:amd64 (6.3.1+dfsg-9~bpo11+2, 6.4.2+dfsg-1~bpo11+2), xserver-xorg-legacy:amd64 (2:1.20.11-1+deb11u4, 2:1.20.11-1+deb11u5), libqt6gui6:amd64 (6.3.1+dfsg-9~bpo11+2, 6.4.2+dfsg-1~bpo11+2), xserver-common:amd64 (2:1.20.11-1+deb11u4, 2:1.20.11-1+deb11u5), libssl-dev:amd64 (1.1.1n-0+deb11u3, 1.1.1n-0+deb11u4), libjavascriptcoregtk-4.0-18:amd64 (2.38.3-1~deb11u1, 2.38.4-2~deb11u1), libqt6core6:amd64 (6.3.1+dfsg-9~bpo11+2, 6.4.2+dfsg-1~bpo11+2), libssl1.1:amd64 (1.1.1n-0+deb11u3, 1.1.1n-0+deb11u4), libssl1.1:i386 (1.1.1n-0+deb11u3, 1.1.1n-0+deb11u4), libwebkit2gtk-4.0-37:amd64 (2.38.3-1~deb11u1, 2.38.4-2~deb11u1), qt6-qpa-plugins:amd64 (6.3.1+dfsg-9~bpo11+2, 6.4.2+dfsg-1~bpo11+2), openssl:amd64 (1.1.1n-0+deb11u3, 1.1.1n-0+deb11u4)
End-Date: 2023-02-08  03:18:51

 

Ezzel van valami teendő, vagy

Beküldte MinterJoe -

Értékelés: 

0
Még nincs értékelve

Ezzel van valami teendő, vagy a Frissítéskezelő megcsinálta (mintha rémlene, hogy volt benne mostanában xorg)?

Ezzel van valami teendő, vagy - ennyi:

Beküldte MinterJoe -

Értékelés: 

0
Még nincs értékelve

#3.1 Ezeket kapom pl.:

xserver-xorg-core:amd64
2:21.1.3-2ubuntu2.5
2:21.1.3-2ubuntu2.6

xserver-xorg-core:amd64
2:21.1.3-2ubuntu2.6
2:21.1.3-2ubuntu2.7

Ez jó?

kimarite képe

Ezzel van valami teendő, vagy - ennyi:

Beküldte kimarite -

Értékelés: 

0
Még nincs értékelve

#3.1.1 Nem tudom. Ellenőrizted? Pontosan nem tudom, miért én ellenőrizzem helyetted. :)

kimarite képe

Ezzel van valami teendő, vagy - ennyi:

Beküldte kimarite -

Értékelés: 

0
Még nincs értékelve

#3.1.1 Ugye, te tudod, melyik Linux Mint rendszert használod, ... mert nekem fogalmam sincs erről. A felsorolás és a javítás állapota a hírben linkelve, és itt is: https://ubuntu.com/security/CVE-2023-0494

Úgy tűnt, aggódsz. Talán belefér az is, hogy utánanézz. ;)

A *-core csomag is javítva:
https://launchpad.net/ubuntu/+source/xorg-server/2:21.1.3-2ubuntu2.7