Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2661-1 xorg-server

Säkerhetsbulletin från Debian

DSA-2661-1 xorg-server -- utlämnande av information

Rapporterat den:

2013-04-17

Berörda paket:

xorg-server

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2013-1940.

Ytterligare information:

David Airlie och Peter Hutterer från Red Hat upptäckte att xorg-server, X.Orgs X-server var sårbar för problem rörande utlämnande av information relaterat till indatahantering och hotplugning av enheter.

När en X-server kör men inte främst (exempelvis för att användaren har skiftat till en VT), så skulle en inkopplad indata-enhet fortfarande kännas igen och hanteras av X-servern, vilket skulle skicka indata-händelser till dess klienter i bakgrunden.

Detta kunde tillåta en angripare att få några input-händelser som inte var ämnade för X-klienterna, inkluderande känslig information.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 2:1.7.7-16.

För uttestningsutgåvan (Wheezy) har detta problem rättats i version 2:1.12.4-6.

För den instabila utgåvan (Sid) har detta problem rättats i version 2:1.12.4-6.

Vi rekommenderar att ni uppgraderar era xorg-server-paket.