Troben una vulnerabilitat considerada com a molt greu en el sistema X-Window
El forat de seguretat pot permetre a un usuari local l'execució de codi arbitrari amb els permisos de root, i és degut a l'oblit d'un parèntesi en una sentència.El servidor de X-Windows que constitueix la base de moltes distribucions Linux i d'altres sistemes operatius com Solaris o Mac OS X es veu afectat per un greu problema de seguretat que pot permetre a un usuari local de la màquina una escalada de privilegis fins arribar a executar programes amb els permisos de root, l'usuari que posseeix la màxima autoritat a l'ordinador.
L'esmentada vulnerabilitat, que afecta als servidors X11R6.9.0 i X11R7.0.0 alliberats el desembre de 2005, ha estat informada per la consultora especialitzada en seguretat Coverity, i els responsables de X.org (organització encarregada del desenvolupament del servidor gràfic) l'han qualificat com la més greu des de l'any 2000.
Segons declaracions de responsables del projecte X.org a diversos mitjans de comunicació en línia, el forat de seguretat es troba ja corregit, malgrat que després de passar per la seva plana web, veiem que no hi ha cap anunci oficial sobre el tema.
Tot per un parèntesi
L'explicació del perquè d'aquesta fallada a un profà en informàtica pot semblar ridícula, fins i tot estúpida: la manca d'un parèntesi. Tot i això, és quelcom molt comú en programació, i que pot passar fàcilment inadvertit en repassar el codi.
Concretament, el parèntesi que falta s'hauria de trobar en una funció que comprova la identitat de l'usuari, d'aquí que el forat permeti la possibilitat d'executar codi amb els permisos de root.
La fallada ha estat trobada gracies a una eina d'escaneig automàtic de codi font escrita explícitament per a buscar errades d'aquest tipus per la mateixa companyia, que també està escanejant a la recerca de fallades de seguretat en altres projectes open source com NetBSD, KDE, PostgreSQL o Mozilla Firefox.
Més informació:
Coverity: Automated Error Prevention and Source Code Analysis
http://www.coverity.com/main.html
Informació sobre els projectes de codi obert escanejats amb l'eina de comprovació de codi de Coverity
http://scan.coverity.com/
X.org Foundation
http://x.org/
posted by Guillem @ 2:41 p. m.
0 Comments:
Publica un comentari a l'entrada
<< Home