XFree86 es una implementación de código abierto para el
sistema X Windows, la interface gráfica para el control local
y/o remoto de un sistema Linux, independientemente del
hardware.
Han sido reportadas múltiples vulnerabilidades en las
versiones de XFree86, anteriores a la 4.3.0.
Estas fallas permiten varias acciones que pueden comprometer
el sistema.
Un incorrecto manejo en las secuencias de escape en Xterm,
permite modificar el título o bloquear las ventanas del
terminal, además de ejecutar comandos en forma arbitraria, en
modo local o remoto.
Otra falla, en el componente XDM, habilita el acceso no
autorizado al servidor X. Recordemos que X Windows utiliza
una metodología cliente-servidor. El servidor X (en este caso
XFree86), es el encargado de generar y procesar, además de la
parte gráfica, todo lo relacionado con la seguridad de la
interface de usuario.
Otra de las fallas está relacionada con la propia instalación
del paquete XFree. Al instalarse éste, se crea el directorio
/dev/dri con derechos para crear o modificar archivos en modo
local.
Aunque las fallas han sido notificadas solo por Red Hat Linux
(en las referencias se indican los parches para éstas), las
vulnerabilidades están presentes en cualquier distribución
que utilice XFree86.
La solución es actualizar la versión respectiva a la brevedad
posible.
* Referencias:
Parches para Linux Red Hat 7.2
ftp://updates.redhat.com/7.2/en/os/
Parches para Linux Red Hat 7.1
ftp://updates.redhat.com/7.1/en/os/
Linux RedHat security advisory RHSA-2003-064 June 25, 2003
http://rhn.redhat.com/errata/RHSA-2003-064.html
XFree86 official security document
http://www.xfree86.org/security/
(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com