X.Org是X.Org Foundation对X窗口系统的开源实现。
X.Org Render扩展的ProcRenderAddGlyphs()函数及DBE扩展的ProcDbeGetVisualInfo()和ProcDbeSwapBuffers()函数没有正确验证用户输入,允许攻击者通过向X服务器发送特制的X请求触发整数溢出,本地攻击者可能利用此漏洞获取root用户权限。
X.org X11R6 6.9.0
X.org X11R7 7.1
X.org X11R7 7.0
临时解决方法:
* 从X服务器的配置文件(通常储存在/etc/X11,名为xorg.conf或XF86Config-4)中删除Render和DBE扩展项,从Module部分删除以下行:
Load "render"
Load "DBE"
厂商补丁:
RedHat
------
RedHat已经为此发布了安全公告(RHSA-2007:0002-01,RHSA-2007:0003-01)以及相应补丁:
RHSA-2007:0002-01:Important: XFree86 security update
链接:<a href="http://lwn.net/Alerts/217066" target="_blank">http://lwn.net/Alerts/217066</a>
RHSA-2007:0003-01:Important: xorg-x11 security update
链接:<a href="http://lwn.net/Alerts/217067" target="_blank">http://lwn.net/Alerts/217067</a>
X.org
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
<a href="http://xorg.freedesktop.org/archive/X11R7.0/patches/" target="_blank">http://xorg.freedesktop.org/archive/X11R7.0/patches/</a>
<a href="http://xorg.freedesktop.org/archive/X11R7.1/patches/" target="_blank">http://xorg.freedesktop.org/archive/X11R7.1/patches/</a>
<a href="http://xorg.freedesktop.org/archive/X11R6.8.2/patches/" target="_blank">http://xorg.freedesktop.org/archive/X11R6.8.2/patches/</a>
<a href="http://xorg.freedesktop.org/archive/X11R6.9.0/patches/" target="_blank">http://xorg.freedesktop.org/archive/X11R6.9.0/patches/</a>
京公网安备 11010502034610号
暂无评论