Debians sikkerhedsbulletin

DSA-2661-1 xorg-server -- informationsafsløring

Rapporteret den:
17. apr 2013
Berørte pakker:
xorg-server
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2013-1940.
Yderligere oplysninger:

David Airlie og Peter Hutterer fra Red Hat opdagede at xorg-server, X.Org's X-server, var ramt af en informationsafsløringsfejl i forbindelse med inddatahåndtering og enheds-hotplug.

Når en X-server kører, men ikke i forgrunden (for eksempel på grund af en VT-switch), kunne en nyligt tilsluttet inddataenhed stadig blive genkendt og håndteret af X-serveren, hvilket faktisk ville overføre inddataevents til dens klienter i baggrunden.

Dermed kunne det være muligt for en angriber at få fat i nogle inddataevents, som ikke var rettet mod X-klienterne, herunder følsomme oplysninger.

I den stabile distribution (squeeze), er dette problem rettet i version 2:1.7.7-16.

I distributionen testing (wheezy), er dette problem rettet i version 2:1.12.4-6.

I den ustabile distribution (sid), er dette problem rettet i version 2:1.12.4-6.

Vi anbefaler at du opgraderer dine xorg-server-pakker.