X.Org Server 21.1.7 schließt Sicherheitslücke

Der Code des in die Jahre gekommenen X.Org Server wird an vielen Stellen von Klebeband und Hoffnung zusammengehalten, was des Öfteren zu Sicherheitslücken führt. Die aktuelle use-after-free Lücke wurde von der Trend Micro Zero Day Initiative entdeckt und unter CVE-2023-0494 katalogisiert.

Privilegierte X-Server betroffen

Von der Lücke betroffen sind nur ältere Systeme, auf denen der X-Server noch privilegiert, also als Root ausgeführt und Remote-Code-Ausführung für SSH-X-Forwarding unterstützt wird. Dort kann es zu einer lokalen Rechteausweitung kommen. Weitere Details hält die X.Org-Mailingliste bereit.

Die Lücke kann durch einen hängenden Zeiger in der Komponente DeepCopyPointerClasses ausgenutzt werden. Ein Patch ist verfügbar, der heute bereits in einer neuen Version xorg-server 21.1.7 veröffentlicht wurde.

Teilt den Beitrag, falls ihr mögt

Abonnieren
Benachrichtige mich bei
8 Kommentare
Most Voted
Newest Oldest
Inline Feedbacks
View all comments