Login
Login-Name Passwort


 
Newsletter
Werbung

Mi, 10. Dezember 2014, 20:11

Software::Security

Aktualisierung behebt zahlreiche Sicherheitslücken im X-Server

Es ist nicht das erste Mal, dass eine größere Anzahl von zum Teil bereits sehr alten Sicherheitslücken im X-Server geschlossen wird. Diesmal werden in einem Sammel-Update insgesamt 13 Lücken geschlossen, deren älteste 27 Jahre unentdeckt blieb.

x.org

Der Sicherheitsforscher Ilja van Sprundel machte auf dem Chaos Computer Congress 2013 (30C3) auf weitere Sicherheitslücken im X-Server aufmerksam, ohne auf Einzelheiten einzugehen. Jetzt wurden die Lücken nach intensiver Zusammenarbeit der X.org Foundation mit van Sprundel in einem Sammel-Update geschlossen.

Bereits früher, wie etwa bei zwei Gelegenheiten im Jahr 2013, hatte van Sprundel Probleme im X-Server aufgedeckt. Insgesamt beinhaltet die jetzige Aktualisierung 37 einzelne Patches für 13 Sicherheitslücken. Die Lücken, die hauptsächlich Speicherprobleme betreffen, ermöglichen es, den X-Server zum Absturz zu bringen und, je nach Konfiguration, aus der Ferne Code einzuschleusen und diesen als Nutzer oder Root auszuführen. Dabei kann nicht initialisierter Speicher benutzt oder Speicher überschrieben werden.

Die X.org-Foundation hat in einem Security Advisory die CVE-Nummern der jetzt geschlossenen Lücken aufgelistet und beschreibt die Gefährlichkeit der Lücken als stark abhängig von der jeweiligen Konfiguration. Ein Problem des X-Servers ist, dass er meist mit Root-Rechten läuft, was potenzielle Sicherheitsprobleme automatisch eskaliert. Auch das Vorhandensein von Erweiterungen wie etwa GLX hat Einfluss auf die Gefährdung durch bestimmte Lücken. Experten bezeichnen den X-Server als einen gewachsenen Flickenteppich aus Patches, der nicht mehr wirklich reparabel sei, sondern nur notdürftig zu flicken.

Die aktuelle Version des X-Server erhielt jetzt einen Patch auf Version 1.16.3, die bereits von vielen Distributionen verteilt wird. In der für das Frühjahr 2015 erwarteten Veröffentlichung von X-Server 1.17 sind die Lücken geschlossen.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung