Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2661-1 xorg-server

Debians sikkerhedsbulletin

DSA-2661-1 xorg-server -- informationsafsløring

Rapporteret den:

17. apr 2013

Berørte pakker:

xorg-server

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2013-1940.

Yderligere oplysninger:

David Airlie og Peter Hutterer fra Red Hat opdagede at xorg-server, X.Org's X-server, var ramt af en informationsafsløringsfejl i forbindelse med inddatahåndtering og enheds-hotplug.

Når en X-server kører, men ikke i forgrunden (for eksempel på grund af en VT-switch), kunne en nyligt tilsluttet inddataenhed stadig blive genkendt og håndteret af X-serveren, hvilket faktisk ville overføre inddataevents til dens klienter i baggrunden.

Dermed kunne det være muligt for en angriber at få fat i nogle inddataevents, som ikke var rettet mod X-klienterne, herunder følsomme oplysninger.

I den stabile distribution (squeeze), er dette problem rettet i version 2:1.7.7-16.

I distributionen testing (wheezy), er dette problem rettet i version 2:1.12.4-6.

I den ustabile distribution (sid), er dette problem rettet i version 2:1.12.4-6.

Vi anbefaler at du opgraderer dine xorg-server-pakker.