Une faille critique dans X.org, mais pas si sévèreCrédits : weerapatkiatdumrong/iStock

Une importante faille de sécurité a été découverte dans le serveur d’affichage X.org, implémentation open source bien connue de X11. Elle touche de nombreux systèmes, dont OpenBSD, Red Hat, Ubuntu, Debian et CentOS.

Pour que la brèche puisse être exploitée, le système doit exécuter X.org en mode privilégié (setuid). Comme l’a montré le chercheur Matthew Hickey, l’exploitation peut ensuite se faire via quelques lignes de commande, soit sur la console locale, soit en session distante SSH.

La vulnérabilité, estampillée CVE-2018-14665, permet le remplacement de fichiers arbitraires via les paramètres -logfile et -modulepath. De là, un utilisateur sans privilèges particuliers peut grimper jusqu’à devenir administrateur de la machine.

Bien que la faille soit techniquement critique, sa sévérité fait débat. Narendra Shinde, le chercheur à l’origine de cette découverte, rappelle que dans la plupart des systèmes, les versions vulnérables de X.org requièrent qu’une session console soit active, donc l’utilisation physique du clavier.

Reste que si la découverte est récente, la faille a été introduite par la mouture 1.19.0 de X.org sortie il y a presque deux ans. Une version 1.20.3 est disponible pour corriger le tir, et tous les systèmes concernés préparent actuellement leurs mises à jour.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !