Forum Debian Users Gang

remi · 2014-12-10 12:59:22

Serwus. Deweloperzy X.Org wydali ostrzeżenie dot. dosyć dużego zestawu luk w zabezpieczeniach serwera, z których niektóre sięgają nawet wydania X11R1 z 1987.go roku. Pan Ilja van Sprundel, badacz bezpieczeństwa z firmy IOActive, odkrył wiele problemów w sposobie jaki X serwer obsługuje żądania tzw. X clients. Pan van Sprundel pracował z zespołem bezpieczeństwa X.Org w celu analizy, potwierdzenia i rozwiązania owych zagadnień. Luki te mogą zostać wykorzystane np. do wywołania serwera X, aby uzyskać dostęp do niezainicjowanej pamięci lub jej nadpisania, co może spowodować casus w postaci Denial of Service (np. X server segmentation fault) etc. Jak krytyczne są wspomniane luki zależy od kilku czynników, tj.: czy serwer X działa z uprawnieniami użytkownika root, czy umożliwia korzystanie z rozszerzeń protokołu, zwłaszcza rozszerzenia GLX itd.

Generalnie luki te obejmują, oczywiście, między innymi (oprócz przeważającej większości zgłoszeń CVE-2014-8xxx opisanych w oficjalnym zgłoszeniu):

* denial of service due to unchecked malloc in client authentication
* integer overflows calculating memory needs for requests
* out of bounds access due to not validating length or offset values in requests

Użytkownicy mogą ograniczyć "podatność", stosując np. następujące metody (zalecane jest zapoznanie się z dokumentacją w odniesieniu do serwera X etc.):

1) zakazać połączeń z sieci poprzez zastosowanie opcji --nolisten tcp z której korzysta już większość dystrybucji Linuksa (domyślnie włączona począwszy od wydania Xorg 1.17),
2) wyłączenie GLX — w wersji Xorg 1.16 lub nowszej, można to osiągnąć wykorzystując opcję wiersza poleceń, tj.: -iglx (domyślnie zaadaptowane w Xorg 1.17 i nowszych).

Źródło oraz wszystkie szczegółowe informacje: Protocol handling issues in X Window System servers - Advisory-2014-12-09

Pozdrawiam serdecznie.

EDYCJA: poprawki związane z formatowaniem tekstu.

Ostatnio edytowany przez remi (2016-10-06 19:10:42)

uzytkownikubunt · 2014-12-10 13:52:04

1313

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:04:07)

mati75 · 2014-12-10 14:35:11

W sidzie już załatane.

Jacekalex · 2014-12-10 17:19:43

mati75 napisał(-a):
W sidzie już załatane.

Ściemniasz Waćpan. ;)

Takiego Frankensteina jak Xorg żadna doraźna łatka nie uratuje.

Załatane będzie wtedy, jak zamiast Xorga będzie Wayland, i będą go obrabiać wszystkie sterowniki, zarówno otwarte jak i zamknięte bloby ATI czy Nvidii,
wszystkie środowiska graficzne i managery okien będą na nim brykać.
Czyli jeszcze jakiś 3 - 6 miechów w przypadku Nvidii, podobnie KDE5, jak z ATI, pojęcia nie mam, Gnome raczej zdąży w tym terminie, Mate i Xfce chyba też, reszta managerów okien już przeważnie jest albo za chwilkę będzie gotowa.

Ostatnio edytowany przez Jacekalex (2014-12-10 17:30:13)

mati75 · 2014-12-10 23:51:23

O te CVE mi chodziło, a że Xorg to zombie to co innego.

Jacekalex · 2014-12-11 09:31:03

Jeżeli w malutkim Bashu łatanie ostatniej dziury było rozbite na trzy - cztery etapy,
(CVE-2014-6277, CVE-2014-7186, CVE-2014-7187, CVE-2014-6278),
to co można o kodzie Xorga i załataniu CVE powiedzieć?
Uwierzyłbym w załatanie, gdyby na świecie żył chociaż jeden człowiek, który dobrze zna kod i mechanizmy działania Xorga (wszystkie) i przy pisaniu tej łatki pomagał.

W przypadku Xorga to możemy mieć nasz na własny, linuxowy "patch tuesday",
a i tak za piętnaście lat takich wtorków dalej będzie co latać. :P

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2014-12-11 13:59:47)

remi · 2016-10-06 18:13:02

Witam serdecznie. Pan Tobias Stoeckmann z projektu OpenBSD odkrył szereg problemów, dot. różnych bibliotek klienta X oraz obsługi odpowiedzi otrzymywanych od Serwera. Stoeckmann współpracował z zespołem zabezpieczeń X.Org w celu analizy, potwierdzenia i rozwiązania tych problemów, które są swoistym uzupełnieniem tych odkrytych przez p. Ilja van Sprundel'a w 2013. roku (patrz pierwszy post). Jak wynika z raportu; "Most of these issues stem from the client libraries trusting the server to send correct protocol data, and not verifying that the values will not overflow or cause other damage (...) there are scenarios in which a privileged client can be connected to an unprivileged server, for instance, connecting a setuid X client to a virtual X server". Więcej informacji znajduje się w tym miejscu: Protocol handling issues in X Window System client libraries.

Biblioteki, do których odnosi się owe zagadnienie, to m.in.: libX11 (<= 1.6.3), libXrandr (<= 1.5.0), libXrender (<= 0.9.9), libXv ● (<= 1.0.10) etc. Identyfikatory CVE, to odpowiednio: CVE-2016-7942 - CVE-2016-7953. (Dane według CVE Assignment Team; Request a CVE ID).

● W celu dodatkowych informacji, które ukażą się w ciągu najbliższych dni można sprawdzić: CVE-2016-5407 libXv

Pozdrawiam serdecznie.

EDYCJA: format. tekstu

Ostatnio edytowany przez remi (2016-10-06 19:09:20)

mati75 · 2016-10-07 09:35:39

Podatne wszystkie gałęzie:

https://security-tracker.debian.org/tracker/CVE-2016-7942
https://security-tracker.debian.org/tracker/CVE-2016-5407

Forum Debian Users Gang

Ogłoszenie

#1 2014-12-10 12:59:22

remi - amputować akrobatów

X.Org Security Advisory.

#2 2014-12-10 13:52:04

uzytkownikubunt - Zbanowany

Re: X.Org Security Advisory.

#3 2014-12-10 14:35:11

mati75 - Psuj

Re: X.Org Security Advisory.

#4 2014-12-10 17:19:43

Jacekalex - Podobno człowiek...;)

Re: X.Org Security Advisory.

mati75 napisał(-a):

#5 2014-12-10 23:51:23

mati75 - Psuj

Re: X.Org Security Advisory.

#6 2014-12-11 09:31:03

Jacekalex - Podobno człowiek...;)

Re: X.Org Security Advisory.

#7 2016-10-06 18:13:02

remi - amputować akrobatów

Re: X.Org Security Advisory.

#8 2016-10-07 09:35:39

mati75 - Psuj

Re: X.Org Security Advisory.

Stopka forum