DFN-CERT

Advisory-Archiv

2018-2176: X.Org-Server: Eine Schwachstelle ermöglicht eine Privilegieneskalation

Historie:

Version 1 (2018-10-26 19:21)
Neues Advisory
Version 2 (2018-10-29 13:46)
Für Ubuntu 18.10 und 18.04 LTS stehen Sicherheitsupdates für 'xorg-server' bereit, mit denen die Schwachstelle behoben wird. Für Ubuntu 16.04 LTS steht ein entsprechendes Sicherheitsupdate für 'xorg-server-hwe-16.04' zur Verfügung.
Version 3 (2018-11-01 13:58)
Für die Red Hat Enterprise Linux (RHEL) 7 Produktvarianten Server, Workstation, Desktop, for Scientific Computing und for ARM sowie für RHEL Server AUS, EUS und TUS 7.6 und für RHEL HPC Node 7.6 stehen Sicherheitsupdates für 'xorg-x11-server' bereit, um die Schwachstelle zu adressieren.
Version 4 (2018-11-05 10:32)
Für Fedora 28 und 29 stehen Sicherheitsupdates für 'xorg-x11-server' in Form der Pakete 'xorg-x11-server-1.19.6-10.fc28' und 'xorg-x11-server-1.20.3-1.fc29' bereit, mit denen die Schwachstelle behoben wird. Das Sicherheitsupdate für Fedora 28 befindet sich im Status 'testing', das für Fedora 29 besitzt bereits den Status 'stable'.
Version 5 (2018-11-08 11:27)
Für Oracle Linux 7 (x86_64) steht ein Sicherheitsupdate zur Behebung der Schwachstelle in 'xorg-x11-server' bereit.
Version 6 (2018-11-09 11:02)
Für SUSE Linux Enterprise Workstation Extension 15 und die SUSE Linux Enterprise Module für Open Buildservice Development Tools, Development Tools und Basesystem 15 stehen Sicherheitsupdates bereit, mit denen die Schwachstelle in 'xorg-x11-server' behoben wird.
Version 7 (2018-11-19 11:19)
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate zur Behebung der Schwachstelle bereit. Der Hersteller weist darauf hin, dass Standardinstallationen nicht von der Schwachstelle betroffen sind, da 'xorg-x11-server' in dem Fall nicht mit erweiterten Rechten ausgeführt wird.

Betroffene Software

Netzwerk
Server

Betroffene Plattformen

Linux
Oracle
UNIX

Beschreibung:

Ein lokaler, einfach authentisierter und nicht privilegierter Benutzer, als Angreifer, mit der Möglichkeit über eine physikalische Konsole in Logdateien zu schreiben, kann durch das Überschreiben von Systemdateien in beliebigen Verzeichnissen seine Privilegien eskalieren und in der Folge beliebigen Programmcode mit Root-Rechten ausführen.

Für die SUSE Linux Enterprise Produkte Software Development Kit 11 SP4, Server 11 SP3 LTSS und 11 SP4, Debuginfo 11 SP3 und 11 SP4 sowie Debian Stretch 9.5 (stable) stehen Sicherheitsupdates für 'xorg-x11-server' bereit. Für OpenBSD 6.3 und 6.4 stehen Source Code Patches zur Verfügung. Nach Installation der Patches muss der X.Org-Server neu kompiliert und gebaut werden.

Schwachstellen:

CVE-2018-14665

Schwachstelle in X.Org-Server ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.