Pur non volendo sostituirci ai colleghi di oneITsecurity per quel che riguarda la segnalazione di problemi di sicurezza, è doveroso segnalare la presenza di un fastidioso bug in X.Org che si manifesta nel caso in cui il nome dell´host in cui si trova ad essere eseguito sia stato manipolato ad arte.
Mattias Hopf segnala la vulnerabilità (e la sua risoluzione) in un messaggio inviato alla mailing list xorg-announce.
L´indebito accesso consente di eseguire con privilegi di root comandi ad arbitrio, ed è reso possibile da un difetto nella gestione del database delle risorse attraverso xrdb; ciò può avvenire o meno in presenza di un accesso valido, a seconda del login manager utilizzato.
I sistemi che possono essere soggetti alla vulnerabilità debbono ricadere in una delle seguenti tipologie:
- usano DHCP per impostare il nome host
- permettono il login remoto via xdmcp
xrdb 1.0.9 conterrà una correzione a quest´errore.