В X.Org устранены три уязвимости, позволяющие поднять свои привилегии в системе

14 мая 2014 года

<dynamicpagelist>

category = Опубликовано category = Компьютерные технологии notcategory = Не публиковать notcategory = Ожидаемые события по датам notcategory = Архивные новости notcategory=Викиновости коротко count = 18 stablepages = only suppresserrors = true namespace = Main addfirstcategorydate = true ordermethod = created </dynamicpagelist>

Wikinews-logo-ru.svg

В библиотеке libXfont, входящей в состав X.Org и используемой в X-сервере, устранена серия уязвимостей, вызванных отсутствием должных проверок при обработке поступающих запросов. Эксплуатация уязвимостей может привести к повышению привилегий локальным пользователем, если X-сервер запускается под пользователем root и в системе используется X Font Server. Кроме того, удалённый злоумышленник, контролирующий работу сервера шрифтов, также может организовать выполнение кода с привилегиями X-сервера. Исправления доступны в виде патчей и будут включены в состав выпусков libXfont 1.4.8 и libXfont 1.4.99.901 (1.5.0 RC 1).

Первая уязвимость (CVE-2014-0209) связана с целочисленным переполнением в коде разбора метаданных и может быть эксплуатирована локальным пользователем через создание новой директории со шрифтами и размещения в ней специально оформленных файлов fonts.dir и fonts.alias, размером 2-4 Гб.

Вторая уязвимость (CVE-2014-0210) связана с некорректной обработкой излишне больших полей в возвращаемых ответах по протоколу xfs. Третья уязвимость (CVE-2014-0211) вызвана целочисленным переполнением при расчете размера памяти, необходимой для обработки ответов от сервера шрифтов по протоколу XFS. Уязвимости могут быть эксплуатированы при обращении к серверу шрифтов, подконтрольному злоумышленнику.

 

ИсточникиПравить


Эта статья содержит материалы из статьи «В X.Org устранены три уязвимости, позволяющие поднять свои привилегии в системе», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:В X.Org устранены три уязвимости, позволяющие поднять свои привилегии в системе