X.Org多个setuid调用返回检查本地权限提升漏洞

漏洞信息详情

X.Org多个setuid调用返回检查本地权限提升漏洞

• CNNVD编号：CNNVD-200608-478
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2006-4447
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2006-06-20
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2006-09-05
  
• 厂        商：
  
  x.org
• 漏洞来源：
  Dirk Mueller muell…

X.Org是X.Org基金会运作的一个对X Window系统的官方参考实现，是开源的自由软件。

X.Org在处理权限放弃操作时存在漏洞，本地攻击者可能利用此漏洞提升自己的权限。

X.Org没有检查setuid()或类似的调用是否成功。如果由于\”maximum processes\”ulimit的限制导致调用失败的话，就会导致进程以root用户权限执行某些特权操作(文件访问)。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://security.gentoo.org/glsa/glsa-200608-25.xml

来源: US-CERT

名称: VU#300368

链接:http://www.kb.cert.org/vuls/id/300368

来源: GENTOO

名称: GLSA-200608-25

链接:http://security.gentoo.org/glsa/glsa-200608-25.xml

来源: SECUNIA

名称: 21650

链接:http://secunia.com/advisories/21650

来源: MLIST

名称: [xorg] 20060620 X.Org security advisory: setuid return value check problems

链接:http://lists.freedesktop.org/archives/xorg/2006-June/016146.html

来源: BID

名称: 19742

链接:http://www.securityfocus.com/bid/19742

来源: SECUNIA

名称: 21660

链接:http://secunia.com/advisories/21660

来源: BID

名称: 23697

链接:http://www.securityfocus.com/bid/23697

来源: MANDRIVA

名称: MDKSA-2006:160

链接:http://www.mandriva.com/security/advisories?name=MDKSA-2006:160

来源: VUPEN

名称: ADV-2007-0409

链接:http://www.frsirt.com/english/advisories/2007/0409

来源: VUPEN

名称: ADV-2006-3409

链接:http://www.frsirt.com/english/advisories/2006/3409

来源: DEBIAN

名称: DSA-1193

链接:http://www.debian.org/security/2006/dsa-1193

来源: GENTOO

名称: GLSA-200704-22

链接:http://security.gentoo.org/glsa/glsa-200704-22.xml

来源: SECUNIA

名称: 25059

链接:http://secunia.com/advisories/25059

来源: SECUNIA

名称: 25032

链接:http://secunia.com/advisories/25032

来源: SECUNIA

名称: 22332

链接:http://secunia.com/advisories/22332

来源: SECUNIA

名称: 21693

链接:http://secunia.com/advisories/21693

来源: MLIST

名称: [beast] 20061228 ANNOUNCE: BEAST/BSE v0.7.1

链接:http://mail.gnome.org/archives/beast/2006-December/msg00025.html

来源: MANDRIVA

名称: MDKSA-2006:160

链接:http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:160