X.Org setuid调用返回检查 多个本地权限提升漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1194534 漏洞类型 设计错误
发布时间 2006-06-14 更新时间 2007-01-30
CVE编号 CVE-2006-2916 CNNVD-ID CNNVD-200606-318
漏洞平台 N/A CVSS评分 6.0
|漏洞来源
https://www.securityfocus.com/bid/18429
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200606-318
|漏洞详情
X.Org是X.Org基金会运作的一个对XWindow系统的官方参考实现,是开源的自由软件。X.Org在处理权限放弃操作时存在漏洞,本地攻击者可能利用此漏洞提升自己的权限。X.Org没有检查setuid()或类似的调用是否成功。如果由于"maximumprocesses"ulimit的限制导致调用失败的话,就会导致进程以root用户权限执行某些特权操作(文件访问)。
|受影响的产品
SuSE Linux Openexchange Server SuSE Linux Enterprise Server 9 SuSE Linux Desktop 1.0 Slackware Linux 10.2 Slackware Linux 10.1 Slackware Linux 10.0 Slac
|参考资料

来源:BID
名称:18429
链接:http://www.securityfocus.com/bid/18429
来源:www.kde.org
链接:http://www.kde.org/info/security/advisory-20060614-2.txt
来源:dot.kde.org
链接:http://dot.kde.org/1150310128/
来源:BUGTRAQ
名称:20060615rPSA-2006-0105-1arts
链接:http://www.securityfocus.com/archive/1/archive/1/437362/100/0/threaded
来源:OSVDB
名称:26506
链接:http://www.osvdb.org/26506
来源:SUSE
名称:SUSE-SR:2006:015
链接:http://www.novell.com/linux/security/advisories/2006_38_security.html
来源:GENTOO
名称:GLSA-200606-22
链接:http://www.gentoo.org/security/en/glsa/glsa-200606-22.xml
来源:VUPEN
名称:ADV-2006-2357
链接:http://www.frsirt.com/english/advisories/2006/2357
来源:SLACKWARE
名称:SSA:2006-178-03
链接:http://slackware.com/security/viewer.php?l=slackware-security&y=2006&m=slackware-security.468256
来源:SECTRACK
名称:1016298
链接:http://securitytracker.com/id?1016298
来源:SECUNIA
名称:20899
链接:http://secunia.com/advisories/20899
来源:SECUNIA
名称:20868
链接:http://secunia.com/advisories/20868
来源:SECUNIA
名称:20827
链接:http://secunia.com/advisories/20827
来源:SECUNI