Debian セキュリティ勧告

DSA-2661-1 xorg-server -- 情報漏洩

報告日時:
2013-04-17
影響を受けるパッケージ:
xorg-server
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2013-1940.
詳細:

Red Hat の David Airlie さんと Peter Hutterer さんが、X.Org X サーバ xorg-server が入力処理およびデバイスのホットプラグに関連する欠陥により、 情報漏洩に対して脆弱であることを発見しました。

X サーバが裏で動いている (例えば VT 切り替え等により) 場合でも、 新しく接続した入力デバイスが X サーバにより認識、処理され、 裏で動いているクライアントに入力イベントを実際に転送してしまいます。

これにより、X クライアントを対象としない入力イベントを、 機密情報を含めて攻撃者がいくらか回収できる可能性があります。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 2:1.7.7-16 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) では、この問題はバージョン 2:1.12.4-6 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 2:1.12.4-6 で修正されています。

直ちに xorg-server パッケージをアップグレードすることを勧めます。