Original-URL des Artikels: https://www.golem.de/news/x-org-patch-fuer-20-jahre-alte-x-server-luecke-1310-102069.html    Veröffentlicht: 10.10.2013 14:30    Kurz-URL: https://glm.io/102069

X.org

Patch für 20 Jahre alte X-Server-Lücke

Das X.org-Team weist auf einen Fehler in der Speicherverwaltung hin. Eigentlich ein üblicher Bug, doch dieser existierte über 20 Jahre und ist vermutlich in allen derzeit verwendeten X.org X-Servern vorhanden.

Es ist eine von Tausenden E-Mails dieser Art, die jedes Jahr verschickt werden: Das X.org-Team weist auf eine Sicherheitslücke in seinem X-Server hin. Doch aus dem Unterpunkt mit den betroffenen Versionen geht hervor, dass die Lücke vermutlich bereits seit über 20 Jahren existiert und damit wohl in allen derzeit verfügbaren X-Servern enthalten ist.

Dem Entwickler Alan Coopersmith zufolge ist der fehlerbehaftete Code nicht in den Archiven von X11R5, wohl aber in den Archiven von X11R6 vorhanden. Das Team vermutet, dass der Fehler am 18. September 1993 eingepflegt wurde und entsprechend in allen Veröffentlichungen seitdem enthalten ist.

Der Fehler in der Funktion doImageText() erlaubt einem X-Client, dafür zu sorgen, dass der X-Server Speicherbereiche nutzen kann, nachdem diese freigegeben wurden. Dies kann zu einem korrumpierten Speicher und einem Absturz des X-Servers führen.

Nur fünf hinzugefügte Zeilen beheben den Fehler. Der Patch soll in den X.org-X-Server-Versionen 1.14.4 sowie 1.15 bereitgestellt werden. Letztere ist die nächste große Veröffentlichung des Projekts, sie ist für Ende dieses Jahres geplant.  (sg)


Verwandte Artikel:
Wayland: Weston läuft auf DirectFB   
(07.10.2013, https://glm.io/102001 )
Steuerprobleme: X.org verliert Gemeinnützigkeit   
(26.08.2013, https://glm.io/101200 )
Modesetting: Fedora verzichtet auf Intels X11-Treiber   
(12.01.2017, https://glm.io/125548 )
Grafiktreiber: Nvidia arbeitet mit Red Hat an Grafik-API   
(30.09.2013, https://glm.io/101861 )
Luc Verhaegen: Intel zerstört Wettbewerb zwischen Wayland und Mir   
(11.09.2013, https://glm.io/101536 )

© 1997–2021 Golem.de, https://www.golem.de/