发布日期：2011-04-06
更新日期：2011-04-06

受影响系统：

Ubuntu Linux 9.x
Ubuntu Linux 8.x
Ubuntu Linux 10.x
X.org xrdb 1.0.8

不受影响系统：

X.org xrdb 1.0.9

描述：

---

BUGTRAQ  ID: 47189
CVE ID: CVE-2011-0465

X.Org是X Window System的开源实现。Xrdb是X服务器资源数据库程序。

X.Org xrdb在实现上存在远程任意Shell命令注入漏洞，远程攻击者可通过XDMCP或设置恶意主机名登录利用此漏洞以当前用户权限执行任意shell命令。

通过用shell转义字符伪造主机名，当display manager通过xrdb读取资源数据库时，可造成在root环境中执行任意命令。在两种环境中会出现这些特制的主机名：通过DHCP设置其主机名的主机；允许通过xdmcp远程登录的主机；

<*来源：Sebastian Krahmer （krahmer@suse.de）
  
  链接：http://lists.freedesktop.org/archives/xorg-announce/2011-April/001636.html
*>

建议：

---

厂商补丁：

Ubuntu
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.ubuntulinux.org/

浏览次数：2373
严重程度：0（网友投票）