Рекомендация Debian по безопасности

DSA-2661-1 xorg-server -- раскрытие информации

Дата сообщения:
17.04.2013
Затронутые пакеты:
xorg-server
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2013-1940.
Более подробная информация:

Дэвид Арли и Питер Хаттерер из Red Hat обнаружили, что xorg-server, X сервер X.Org, уязвим к раскрытию информации, связанному с обработкой ввода и горячего подключения устройств.

Когда X сервер работает, но он не активен (например, из-за переключения VT), заново подключённое устройство ввода всё равно будет распознаваться и обрабатывать X сервером, который фактически будет передавать все события ввода своим клиентам в фоне.

Это может позволить атакующему извлекать некоторые события ввода, не предназначенные клиентам X, включая чувствительную информацию.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 2:1.7.7-16.

В тестируемом выпуске (wheezy) эта проблема была исправлена в версии 2:1.12.4-6.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 2:1.12.4-6.

Рекомендуется обновить пакеты xorg-server.