Linux deja ver una amenaza latente

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

Un investigador de seguridad de la India descubrió una falla muy crítica en el paquete del Servidor X.Org que afecta a OpenBSD y a la mayoría de las distribuciones de Linux, incluyendo Debian, Ubuntu, CentOS, Red Hat y Fedora.

El servidor Xorg X es una implementación popular de código abierto del sistema X11 (servidor de pantalla) que ofrece un entorno gráfico para una gama más amplia de plataformas de hardware y sistemas operativos.

Sirve como intermediario entre las aplicaciones cliente y usuario para administrar las pantallas gráficas.

De acuerdo con una publicación en el blog publicada por el ingeniero de seguridad de software Narendra Shinde, el servidor Xorg X no maneja y valida correctamente los argumentos de al menos dos parámetros de la línea de comandos, lo que permite a un usuario con pocos privilegios ejecutar código malicioso y sobrescribir cualquier archivo, incluidos los archivos. Propiedad de usuarios privilegiados como root.

La falla, identificada como CVE-2018-14665, se introdujo en el paquete X.Org server 1.19.0 que no se detectó durante casi dos años y podría haber sido explotada por un atacante local en la terminal o por SSH para elevar sus privilegios en una objetivo del sistema.

Los dos parámetros vulnerables en cuestión son:

modulepath: para establecer una ruta de directorio para buscar los módulos del servidor Xorg,

logfile: para establecer un nuevo archivo de registro para el servidor Xorg, en lugar de usar el archivo de registro predeterminado que se encuentra en /var/log/Xorg.n.log en la mayoría de las plataformas.

La fundación X.Org ha lanzado la versión 1.20.3 del servidor X.Org con parches de seguridad para solucionar el problema.

Distribuciones populares como OpenBSD, Debian, Ubuntu, CentOS, Red Hat y Fedora han publicado sus avisos para confirmar el problema y trabajan de forma organizada en las actualizaciones de parches, para quienes instalaron las distribuciones.

 

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris