GLSA 200805-03: Multiple X11 terminals: Local privilege escalation

Опасность:средняя
Заголовок:Multiple X11 terminals: Local privilege escalation
Дата:07.05.2008
Ошибки: #216833, #217819, #219746, #219750, #219754, #219760, #219762
ID:200805-03

Сводка

A vulnerability was found in aterm, Eterm, Mrxvt, multi-aterm, RXVT, rxvt-unicode, and wterm, allowing for local privilege escalation.

Назначение

Aterm, Eterm, Mrxvt, multi-aterm, RXVT, rxvt-unicode, and wterm are X11 terminal emulators.

Уязвимые пакеты

Пакет Уязвимый Нетронутый Архитектура(ы)
x11-terms/aterm < 1.0.1-r1 >= 1.0.1-r1 All supported architectures
x11-terms/eterm < 0.9.4-r1 >= 0.9.4-r1 All supported architectures
x11-terms/mrxvt < 0.5.3-r2 >= 0.5.3-r2 All supported architectures
x11-terms/multi-aterm < 0.2.1-r1 >= 0.2.1-r1 All supported architectures
x11-terms/rxvt < 2.7.10-r4 >= 2.7.10-r4 All supported architectures
x11-terms/rxvt-unicode < 9.02-r1 >= 9.02-r1 All supported architectures
x11-terms/wterm < 6.2.9-r3 >= 6.2.9-r3 All supported architectures

Описание

Bernhard R. Link discovered that RXVT opens a terminal on :0 if the "-display" option is not specified and the DISPLAY environment variable is not set. Further research by the Gentoo Security Team has shown that aterm, Eterm, Mrxvt, multi-aterm, rxvt-unicode, and wterm are also affected.

Воздействие

A local attacker could exploit this vulnerability to hijack X11 terminals of other users.

Обход

There is no known workaround at this time.

Решение

All aterm users should upgrade to the latest version:

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=x11-terms/aterm-1.0.1-r1"

All Eterm users should upgrade to the latest version:

# emerge --sync # emerge --ask --oneshot --verbose ">=x11-terms/eterm-0.9.4-r1"

All Mrxvt users should upgrade to the latest version:

# emerge --sync # emerge --ask --oneshot --verbose ">=x11-terms/mrxvt-0.5.3-r2"

All multi-aterm users should upgrade to the latest version:

# emerge --sync # emerge --ask --oneshot --verbose ">=x11-terms/multi-aterm-0.2.1-r1"

All RXVT users should upgrade to the latest version:

# emerge --sync # emerge --ask --oneshot --verbose ">=x11-terms/rxvt-2.7.10-r4"

All rxvt-unicode users should upgrade to the latest version:

# emerge --sync # emerge --ask --oneshot --verbose ">=x11-terms/rxvt-unicode-9.02-r1"

All wterm users should upgrade to the latest version:

# emerge --sync # emerge --ask --oneshot --verbose ">=x11-terms/wterm-6.2.9-r3"

Ссылки

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-200805-03.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.

Лицензия

Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.

Спасибо!