Vulnerabilidad de desbordamiento de pila de 23 a√Īos descubierta en el servidor X11

Vulnerabilidad de desbordamiento de pila de 23 a√Īos descubierta en el servidor X11

Fundación X.Org desarrolla el sistema X-Window, el sistema de ventana estándar para dispositivos y sistemas operativos de código abierto. La mayoría de las interfaces gráficas de usuario para sistemas Unix y Linux dependen de él.

En el 30 ¬į Congreso de Comunicaci√≥n del Caos (CCC) en Alemania, Ilja van Sprundel, un investigador de seguridad dio la presentaci√≥n titulada “La seguridad del servidor X11 es ‘peor de lo que parece’ “. Encontr√≥ m√°s de 120 errores en unos pocos meses.

En la presentaci√≥n, present√≥ una vulnerabilidad de desbordamiento de pila de 23 a√Īos en el sistema X11 que podr√≠a conducir a la escalada de privilegios a la ra√≠z y afectar todas las versiones del servidor X a X11R5.
M√°s tarde hoy, la Fundaci√≥n X.Org lanz√≥ un aviso de seguridad, afirma “Un archivo de fuente BDF que contiene una cadena m√°s larga de lo esperado podr√≠a desbordar el b√ļfer en la pila. Las pruebas en servidores X creados con Stack Protector resultaron en un bloqueo inmediato al leer una fuente especialmente dise√Īada por el usuario.
La falla reside en un archivo en “libXfont / tree / src / bitmap / bdfread.c“y esta biblioteca LibXfont sol√≠a manejar fuentes en todos los servidores X, a menudo trabajando con privilegios de root. Por lo tanto, una explotaci√≥n exitosa podr√≠a conducir a la escalada de privilegios al usuario root.
La vulnerabilidad asignada como CVE-2013-6462, se descubrió utilizando un sistema automatizado cppcheck herramienta de análisis estático.

Plataformas afectadas:

  • X.Org libXfont 1.2.1
  • X.Org libXfont 1.2.2
  • X.Org libXfont 1.3.1
  • X.Org libXfont 1.4.3
X.Org Foundation ha lanzado un parche para este, incluye la nueva versión libXfont 1.4.7.