阿里云漏洞库
高危漏洞
CVE 漏洞库
非CVE漏洞库
安全社区
搜索
NVD
应用程序
CVE-2011-4613
中危
X.Org X Server X wrapper本地安全绕过漏洞
CVE编号
CVE-2011-4613
利用情况
漏洞武器化
补丁情况
官方补丁
披露时间
2014-02-06
该漏洞已被黑客武器化,用于大规模蠕虫传播、勒索挖矿,建议您立即关注并修复。
漏洞描述
X.Org是X.Org Foundation对X窗口系统的开源实现。默认情况下,wrapper配置文件仅允许控制TTY(控制台)的任意用户使用root特权启动X 服务器: # cat /etc/X11/Xwrapper.config [...] allowed_users=console 要判断用户是否控制TTY,代码会检查连接到它标准输入文件的属性: $ cat -n debian/local/xserver-wrapper.c [...] 152 static int 153 onConsole() 154 { 155 #if defined(__linux__) 156 struct stat s; 157 158 /* see if stdin is a virtual console device */ 159 if (fstat(0,
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=652249
http://www.debian.org/security/2011/dsa-2364
http://www.ubuntu.com/usn/USN-1349-1
受影响软件情况
#
类型
厂商
产品
版本
影响面
1
运行在以下环境
应用
x.org
x_server
-
-
运行在以下环境
系统
debian_10
xorg
*
Up to
(excluding)
1:7.6+10
运行在以下环境
系统
debian_11
xorg
*
Up to
(excluding)
1:7.6+10
运行在以下环境
系统
debian_12
xorg
*
Up to
(excluding)
1:7.6+10
运行在以下环境
系统
debian_6
xorg
*
Up to
(excluding)
1:7.5+8+squeeze1
查看完整数据
阿里云评分
5.6
攻击路径
本地
攻击复杂度
困难
权限要求
无需权限
影响范围
越权影响
EXP成熟度
漏洞武器化
补丁情况
官方补丁
数据保密性
无影响
数据完整性
传输被破坏
服务器危害
DoS
全网数量
N/A
CWE-ID
漏洞类型
CWE-264
权限、特权和访问控制
阿里云安全产品覆盖情况
云安全中心
WAF
云防火墙
RASP
Exp相关链接
×
https://www.exploit-db.com/exploits/18040