Encuentran vulnerabilidad en distros populares de Linux

176

El investigador Nerendra Shinde ha descubierto una vulnerabilidad crítica el servidor de paquetes X.Org, afectando a principales distros populares de Linux como Debian, Ubuntu, CentOS, Red Hat y Fedora. Por otro lado OpenBSD de Unix también se ha visto afectado.
El proyecto Xorg X brinda una implementación de código abierto siendo una alternativa al sistema X Windows (utilizado por Microsoft), esto le brinda a las principales distribuciones el poder dibujar un entorno gráfico a sus usuarios.

Según el descubrimiento de Shinde, el servidor de Xorg X no maneja ni valida correctamente los argumentos de al menos los siguientes parámetros de línea de comando:

  • -modulepath: establece una ruta de directorio para buscar módulos en el servidor Xorg
  • -logfile: establece un nuevo archivo de registro para el servidor Xorg, en lugar de usar el registro predeterminado ubicado en /var/log/Xorg.n.log en la mayoría de plataformas.

De acuerdo con el Nerendra Shinde, un usuario con pocos privilegios podría explotarlo para ejecutar código malicioso y sobrescribir cualquier archivo en el sistema.

La falla se dio a conocer en el paquete X.Org server 1.19.0 hace más de dos años. Xorg publicó un aviso de seguridad CVE-2018-14665.

Cuando el servidor X se ejecuta con privilegios elevados (es decir, cuando Xorg se instala con el bit setuid establecido y iniciado por un usuario no root)” se puede leer desde el aviso de Xorg.

El argumento -modulepath se puede usar para especificar una ruta insegura a los módulos que se van a cargar en el servidor X, lo que permite ejecutar código sin privilegios en el proceso privilegiado.

“El argumento -logfile se puede usar para sobrescribir archivos arbitrarios en el sistema de archivos, debido a verificaciones incorrectas en el análisis de la opción

¡Necesitamos de tu ayuda!

Los ingresos por publicidad van cada vez más en picada, los sitios independientes como el nuestro son los más afectados. Nos hemos visto la necesidad de encontrar otras formas para continuar en funcionamiento.

Nuestro principal compromiso es el de mantener nuestro contenido libre e independiente, lo que significa que no existen publicaciones promocionadas, publicidad molesta ni tarifas de suscripción.

Si te gusta lo que hacemos y deseas apoyarnos, podrías considerar ser parte de nuestro Patreon:

Comentarios

Este sitio web utiliza cookies para mejorar su experiencia. Asumiremos que estás de acuerdo con esto, pero puedes optar por no hacerlo si lo deseas. AceptarLeer más