forum.opennet.ru

Составление сообщения

Исходное сообщение

"Серия уязвимостей в клиентских библиотеках X.Org"
Отправлено opennews, 05-Окт-16 00:44

Один из участников проекта OpenBSD обнаружил (https://lists.freedesktop.org/archives/xorg/2016-October/058...) несколько уязвимостей в различных клиентских библиотеках X.Org, проявляющихся в коде обработки ответов от сервера. Большинство уязвимостей позволяют инициировать запись данных злоумышленника за границы буфера, что может привести к выполнению кода на стороне X-клиента при взаимодействии с подконтрольным атакующему X-сервером.

Проблемы вызваны отсутствием проверок корректности данных, передаваемых сервером. Обычно клиент и сервер выполняются на одной машине под одним пользователем или сервер работает с более высокими привилегиями, но существует ряд сценариев, при которых привилегированный клиент подсоединяется к непривилегированному стороннему серверу. Например, setuid X-клиент, такой как блокировщик экрана, может обращаться к подконтрольному другому пользователю виртуальному X-серверу, такому как Xvfb или Xephyr.
Подверженные уязвимостям библиотеки и версии, в которых ожидается исправление:

-  libX11 1.6.4
-  libXfixes 5.0.3
-  libXi 1.7.7
-  libXrandr 1.5.1
-  libXrender 0.9.10
-  libXtst 1.2.3
-  libXv 1.0.11
-  libXvMC 1.0.10
URL: https://lists.freedesktop.org/archives/xorg/2016-October/058...
Новость: https://www.opennet.ru/opennews/art.shtml?num=45275

Исходное сообщение
"Серия уязвимостей в клиентских библиотеках X.Org" Отправлено opennews, 05-Окт-16 00:44
Один из участников проекта OpenBSD обнаружил (https://lists.freedesktop.org/archives/xorg/2016-October/058...) несколько уязвимостей в различных клиентских библиотеках X.Org, проявляющихся в коде обработки ответов от сервера. Большинство уязвимостей позволяют инициировать запись данных злоумышленника за границы буфера, что может привести к выполнению кода на стороне X-клиента при взаимодействии с подконтрольным атакующему X-сервером. Проблемы вызваны отсутствием проверок корректности данных, передаваемых сервером. Обычно клиент и сервер выполняются на одной машине под одним пользователем или сервер работает с более высокими привилегиями, но существует ряд сценариев, при которых привилегированный клиент подсоединяется к непривилегированному стороннему серверу. Например, setuid X-клиент, такой как блокировщик экрана, может обращаться к подконтрольному другому пользователю виртуальному X-серверу, такому как Xvfb или Xephyr. Подверженные уязвимостям библиотеки и версии, в которых ожидается исправление: - libX11 1.6.4 - libXfixes 5.0.3 - libXi 1.7.7 - libXrandr 1.5.1 - libXrender 0.9.10 - libXtst 1.2.3 - libXv 1.0.11 - libXvMC 1.0.10 URL: https://lists.freedesktop.org/archives/xorg/2016-October/058... Новость: https://www.opennet.ru/opennews/art.shtml?num=45275

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Один из участников проекта OpenBSD обнаружил (https://lists.freedesktop.org/archives/xorg/2016-October/058344.html) 
> несколько уязвимостей в различных клиентских библиотеках X.Org, проявляющихся в коде обработки 
> ответов от сервера. Большинство уязвимостей позволяют инициировать запись данных злоумышленника 
> за границы буфера, что может привести к выполнению кода на стороне 
> X-клиента при взаимодействии с подконтрольным атакующему X-сервером.

> Проблемы вызваны отсутствием проверок корректности данных, передаваемых сервером. Обычно 
> клиент и сервер выполняются на одной машине под одним пользователем или 
> сервер работает с более высокими привилегиями, но существует ряд сценариев, при 
> которых привилегированный клиент подсоединяется к непривилегированному стороннему серверу. 
> Например, setuid X-клиент, такой как блокировщик экрана, может обращаться к подконтрольному 
> другому пользователю виртуальному X-серверу, такому как Xvfb или Xephyr.

> Подверженные уязвимостям библиотеки и версии, в которых ожидается исправление:

> -  libX11 1.6.4 
> -  libXfixes 5.0.3 
> -  libXi 1.7.7 
> -  libXrandr 1.5.1 
> -  libXrender 0.9.10 
> -  libXtst 1.2.3 
> -  libXv 1.0.11 
> -  libXvMC 1.0.10

> URL: https://lists.freedesktop.org/archives/xorg/2016-October/058344.html 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=45275

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру