GLSA 200407-05: XFree86, X.org: XDM ignores requestPort setting
| Опасность: | низкая |
| Заголовок: | XFree86, X.org: XDM ignores requestPort setting |
| Дата: | 05.07.2004 |
| Ошибки: | |
| ID: | 200407-05 |
Сводка
XDM will open TCP sockets for its chooser, even if the DisplayManager.requestPort setting is set to 0. This may allow authorized users to access a machine remotely via X, even if the administrator has configured XDM to refuse such connections.Назначение
The X Display Manager (XDM) is a program which provides a graphical login prompt to users on the console or on remote X terminals. It has largely been superseded by programs such as GDM and KDM.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| x11-base/xfree | <= 4.3.0-r5 | >= 4.3.0-r6 | All supported architectures |
| x11-base/xorg-x11 | <= 6.7.0 | >= 6.7.0-r1 | All supported architectures |
Описание
XDM will open TCP sockets for its chooser, even if the DisplayManager.requestPort setting is set to 0. Remote clients can use this port to connect to XDM and request a login window, thus allowing access to the system.
Воздействие
Authorized users may be able to login remotely to a machine running XDM, even if this option is disabled in XDM's configuration. Please note that an attacker must have a preexisting account on the machine in order to exploit this vulnerability.
Обход
There is no known workaround at this time. All users should upgrade to the latest available version of X.
Решение
If you are using XFree86, you should run the following:
# emerge sync
# emerge -pv ">=x11-base/xfree-4.3.0-r6"
# emerge ">=x11-base/xfree-4.3.0-r6"
If you are using X.org's X11 server, you should run the following:
# emerge sync
# emerge -pv ">=x11-base/xorg-x11-6.7.0-r1"
# emerge ">=x11-base/xorg-x11-6.7.0-r1"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.