Исходное сообщение
"Локальная Root-уязвимость в X.Org" Отправлено opennews, 06-Апр-11 02:11
Разработчики проекта X.Org объявили (http://lists.freedesktop.org/archives/xorg-announce/2011-Apr...) об обнаружении критической уязвимости в утилите xrdb, позволяющей локальному злоумышленнику выполнить свой код с привилегиями суперпользователя. Организация запуска кода производится через передачу специально оформленного имени хоста, содержащего экранированные спецсимволы. Выполнение кода производится в момент запуска дисплейного менеджера, в котором  для загрузки базы ресурсов от имени суперпользователя используется утилита xrdb. Проблемное имя хоста может быть передано двумя путями: через DHCP или xdmcp. В первом случае злоумышленник должен иметь административный доступ к DHCP-серверу или физический доступ к локальному сегменту сети. Во втором случае на атакуемой системе должна присутствовать возможность удаленного входа по xdmcp и злоумышленник должен иметь локальный аккаунт в системе. Проблему обнаружил Себастьян Крамер (Sebastian Krahmer) из команды по обесп... URL: http://lists.freedesktop.org/archives/xorg-announce/2011-Apr... Новость: https://www.opennet.ru/opennews/art.shtml?num=30142