Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Displayserver: Fast alle X.org-Bibliotheken mit Sicherheitslücken

28 teils gefährliche Sicherheitslücken in den zahlreichen Bibliotheken des Displayservers X.org haben die Entwickler geschlossen. Sie betreffen alle bisherigen Versionen des X Window System.
/ Jörg Thoma
42 Kommentare undefined News folgen (öffnet im neuen Fenster)
Zahlreiche Bibliotheken des Displayservers X.org sind von Schwachstellen betroffen. (Bild: X.org)
Zahlreiche Bibliotheken des Displayservers X.org sind von Schwachstellen betroffen. Bild: X.org

Solange X Clients und der Server vom selben Benutzer gestartet und verwendet werden, stellen die jetzt gefundenen Sicherheitslücken kein Problem dar, wie die Entwickler vom X.org-Projekt(öffnet im neuen Fenster) schreiben. Wenn jedoch ein privilegierter Client eine Verbindung zu einem unprivilegierten Server aufbaut, etwa zu einem virtuellen Xserver wie Xvfb oder Xephyr, dann können sich Benutzer unter Umständen Root-Rechte verschaffen.

Da es sich um Fehler in der Handhabung der Protokolle handelt, sind nahezu alle Client-Bibliotheken betroffen. Ermittelt hat sie der Sicherheitsexperte Ilja van Sprundel von der Firma Ioactive. Er wandte sich an die X.org-Entwickler und gemeinsam erarbeiteten sie Lösungen, die jetzt im Code umgesetzt wurden.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Softwareentwickler:in / Programmierer:in (w/m/d) in der Projektförderung Projektträger Jülich, Jülich (öffnet im neuen Fenster)
Applikationsmanager / Fachadministrator (m/w/d) - Finanzsoftware Infoma Newsystem Stadt Fürstenfeldbruck, Fürstenfeldbruck (öffnet im neuen Fenster)
Mitarbeiter (m/w/d) im Datei- und Dokumentenmanagement Schwerpunkt Postbearbeitung Medizinischer Dienst Baden-Württemberg, Lahr/Schwarzwald (öffnet im neuen Fenster)
Mitarbeiter:in (w/m/d) für die IT-Koordination der kvw-Querschnittsbereiche Kommunale Versorgungskassen Westfalen-Lippe, Münster (öffnet im neuen Fenster)
Development Engineer, Sound Coding (m/f/d) MED-EL Medical Electronics, Innsbruck (öffnet im neuen Fenster)
Scrum Master / Agile Master (w/m/d) freenet DLS GmbH, Büdelsdorf (öffnet im neuen Fenster)
Lehrer (all genders) im Fach Informatik (Master Quereinsteiger) Phorms Josef-Schwarz-Schule in Heilbronn, Heilbronn (öffnet im neuen Fenster)
Leitung des »Security Operations Center Digitaler Euro« (m/w/d) Deutsche Bundesbank, Frankfurt (öffnet im neuen Fenster)

Bei den gefundenen Fehlern handelt es sich unter anderem um Integer Overflows, die bei der Berechnung des benötigten Speichers auftreten können. Davon betroffen sind zahlreiche Funktionen in vielen Bibliotheken, darunter LibX11 bis Version 1.5.99.901, LibXinerama 1.1.2 (CVE-2013-1985), LibXp 1.0.1 (CVE-2013-2062), LibXrandr 1.4.0 (CVE-2013-1986), LibXrender 0.9.7 (CVE-2013-1987), LibXRes 1.0.6 (CVE-2013-1988), LibGLX in Mesa 9.1.1 (CVE-2013-1993) sowie libchromeXvMC und libchromeXvMCPro in Openchrome 0.3.2 (CVE-2013-1994).

In den beiden Bibliotheken LibXi 1.7.1 (CVE-2013-1995) und LibFS 1.0.4 (CVE-2013-1996) werden die Vorzeichen während der Berechnung des benötigten Speichers nicht hinreichend überprüft. Pufferüberläufe wegen mangelnder Verifizierung der Länge oder Offset-Werte können in den Bibliotheken LibX11 1.5.99.901 (CVE-2013-1997) oder LibXv 1.0.7 (CVE-2013-1998) auftreten. LibX11 1.5.99.901 hat auch weitere Schwachstellen, darunter Probleme beim Parsen von benutzerspezifischen Dateien.

Patches sind inzwischen im Github-Repository erhältlich.

Zur Startseite 42 Kommentare

Relevante Themen

Open SourceLinuxSoftwareSecurityWissenInnovation & ForschungDatensicherheit