Erneut Sicherheitsprobleme bei X.Org

Verfasst von

Dieser Tage veröffentlichte Jan-Niklas Sohn von der Trend Micro Zero Day Initiative einige neu entdeckte Sicherheitsprobleme bei X.Org. Bereits seit einigen Jahren gilt X.Org als Sicherheitsrisiko und es tauchen immer wieder Sicherheitsprobleme auf. Der derzeitige X.Org-Betreuer Povilas Kanapickas, der erst kürzlich X.Org Server 21.1.0 freigegeben hatte, veröffentlichte Details dazu auf der X.Org-Mailingliste.

Jan-Niklas Sohn entdeckte, dass der X.Org-Server bestimmte Eingaben nicht korrekt behandelt. Ein Angreifer könnte dieses Problem nutzen, um den Server zum Absturz zu bringen, was zu einem Denial-of-Service führt, oder möglicherweise lokal die Privilegien eskalieren und beliebigen Code ausführen.

Alle vier Lücken betreffen die Eingabevalidierung in X-Server-Erweiterungen und sind folgendermaßen katalogisiert:

Betroffen sind sowohl der Xorg-Server als auch XWayland. Patches für alle vier Lücken stehen auf Gitlab bereit. Bei Canonical sind etwa alle Versionen seit Ubuntu 18.04 LTS betroffen, bei Debian alle Ausgaben seit Debian 9. »Stretch«. Während Canonical bereits gepatchte Pakete für alle Versionen bereithält, ist bei Debian derzeit nur Unstable gepatched. Bei Arch Linux ist xorg-server noch verwundbar, während, xorg-wayland gepatched ist. Auch openSUSE hat Patches für die betroffenen Produkte.

EDIT: Mittlerweile liegt eine neue Version des X.Org-Servers vor, die bei den Distributionen getestet wird. xorg-server 21.1.2 wurde gestern Nachmittag offiziell vorgestellt. Diese Version behebt die vier gemeldeten Sicherheitslücken und mehrere Regressionen. Insbesondere werden die tatsächlichen physischen Abmessungen durch den X-Server nicht mehr gemeldet, da dies fehlerhaft war. Ab nun werden generell 96 DPI gemeldet, so wie es auch XWayland tut. Eine bessere Lösung für die Zukunft wäre laut Betreuer Povilas Kanapickas wäre, die Standard-DPI so zu belassen, wie sie ist, und das richtige Verhalten mit einer Kommandozeilenoption zu aktivieren (vielleicht -dpi auto oder ähnlich).

X.org X.org-Server

Kommentare

17 Antworten zu „Erneut Sicherheitsprobleme bei X.Org“

2021-12-15

MaximilianMustermann

> Während Canonical bereits gepatchte Pakete für alle Versionen bereithält, ist bei Debian derzeit nur Unstable gepatched.

Tja, da haben wir es mal wieder. Der Abstieg von Debian schreitet voran. Ist nicht erst letztens rausgekommen, dass Debian es nicht mal gerissen bekommt einen Browser zumindest rudimentär auf dem aktuellen Stand zu halten, nun auch X-Org… Vor zwanzig Jahren hieß es noch, wer was sicheres nehmen will, nimmt Debian.

Jetzt ist es Ubuntu, auf dem Server oder Desktop. Vermutlich dauert es jetzt ein halbes Jahr weil irgendeine Abhängigkeit fehlt und dem Maintainer ein Furz quer hängt.

Antworten
1. 2021-12-15
  
  Ferdinand
  
  Das ist jetzt meiner Meinung nach übertrieben. Ich würde wetten, die Patches kommen noch heute.
  
  Antworten
  1. 2021-12-15
    
    MaximilianMustermann
    
    Schätze ich auch. 🙂
    
    Antworten
  2. 2021-12-15
    
    axt
    
    Arch hat aktualisiert.
    
    Antworten
  3. 2021-12-16
    
    kermet
    
    Die Wette hast du verloren, leider.
    
    Antworten
    1. 2021-12-16
      
      kermet
      
      PS: Damit niemand nachrechnen muss. Wir haben jetzt 0:40 Uhr, d.h. der Tag Gestern ist rum.
      
      Antworten
    2. 2021-12-16
      
      MaximilianMustermann
      
      Jetzt auch noch nichts. Ist noch nicht mal in Testing.
      
      Antworten
      1. 2021-12-16
        
        Ferdinand
        
        Fedora ist auch noch beim Testen (was ja auch nicht unwichtig ist).
2. 2021-12-15
  
  perko
  
  Du hast recht, nur ein Wenig weniger Polemik hätte Deinem Beitrag wirklich nicht geschadet. Das war auch mein Gedanke so in etwa.
  
  Antworten
3. 2021-12-15
  
  axt
  
  Bei allem berechtigten Unmut über Debian…
  
  Jetzt ist es Ubuntu, auf dem Server oder Desktop.
  
  Damit disqualifizierst Du Dich aber komplett. Oder wie lebt sich’s denn so ohne universe und multiverse?
  
  Nur 1 aktuelles Beispiel: Wo ist der nss-Secfix gegen CVE-2021-43527 in LibreOffice aus universe? Nur für Jammy, Entwicklungsversion, wird 7.2.4 angeboten. Für die Versionen in Impish (7.2.3), Hirsute (7.1.7), Focal (7.1.7 als backport) gibt es auch keine Fixes, von Bionic (6.0.7, über 2 Jahre alt) reden wir besser gleich gar nicht.
  
  Der unbedarfte User fühlt sich sicher durch „LTS“-Gequatsche (das gilt eben nur für main und restricted) und diskutiert da auch gern dümmlich in Support-Foren herum. Aber er bzw. sein System ist es nicht, im Gegenteil.
  
  Antworten
  1. 2021-12-15
    
    PaX
    
    Ich war auch erstaunt, als heute ein Flatpak-Update für CVE-2021-41133(Score 7.8) in Ubuntu 21.10 eingetroffen ist und dies ganze 2 Monate, nachdem in Debian Stable per security updates die Lücke behoben wurde.
    
    https://ubuntu.com/security/CVE-2021-41133
    https://lists.debian.org/debian-security-announce/2021/msg00169.html
    
    Man muss echt selber etwas mehr die Augen offen halten, selbst bei einer „aktuellen“ Distribution wie Ubuntu 21.10.
    
    Antworten
    1. 2021-12-16
      
      kermet
      
      Für Log4j gab es heute in Debian einen nachpatch, weil der vorherige 2.15er Versionpatch nicht alle Lücken schloss.
      Debian bekam dieses Update heute, man ist jetzt bei Version 2.16. Und es wird spannend, ob man das auch in Ubuntu lösen wird, denn log4j ist dort nur in universe, wird von Canonical also eigentlich nicht aktiv gepflegt, es sei denn natürlich, so eine Sicherheitslücke macht in den Schlagzeilen die Runde, dann hilft man da ausnahmsweise nach.
      Aber die Frage ist halt, ob man auch den Nachpatch berücksichtigen wird, jetzt wo man ja schon mit 2.15 nachgeholfen hat, oder ob das wieder unter den Teppich kommt, weil es ja eigentlich eine Aufgabe der Community wäre, da nen Patch für die Pakete in unvierse zu liefern.
      
      Ich bin gespannt. Spätestens nächsten Montag Abend wissen wir mehr. Da trennt sich dann die Spreu vom Weizen.
      
      Antworten
      1. 2021-12-16
        
        kermet
        
        PS:
        Momentan (Stand: 16:12.21 16:41 Uhr) gibt es keine 2.16er log4j Version in Ubuntu und den darauf aufbauenden Distris.
4. 2021-12-16
  
  Christopher
  
  Vergesse nicht das die alle freiwillig arbeiten. Wenn du einen Anspruch haben möchtest, Kauf dir ein kommerzielles Produkt von den Platzhirschen …ach neee, die liefern ihre Patches immer erst Jahre später aus. Schade, dann fang dein eigenes Projekt halt an. Ich glaube die Welt kann noch ein paar Superhelden gebrauchen (grins).
  
  Antworten
2021-12-15

Nick

Interessant. Also war Xorg der primäre Übeltäter beim diesjährigen Pwn2own Wettbewerb von Trend Micro, wodurch das jeweilige Ubuntu damals geknackt wurde. Wieso wundert mich das nicht? Mit Wayland wäre das wesentlich schwieriger gewesen. Und zu den neuen Sicherheitslücken gibt es eigentlich nur zu sagen, dass deren Charakteristika darauf hindeutet, dass diese nur unter einem mittels Rootrechten laufenden Xorg ein wirklich schädliches Potential entfalten können. Fehlen diese dann halten sich die möglichen Auswirkungen doch stark in Grenzen, gerade bei Verwendung von Xorg unter KDE bzw. Gnome oder XWayland unter einem entsprechenden Wayland-Compositor.

Antworten
1. 2021-12-16
  
  kermet
  
  dass diese nur unter einem mittels Rootrechten laufenden Xorg ein wirklich schädliches Potential entfalten können. Fehlen diese dann halten sich die möglichen Auswirkungen doch stark in Grenzen
  
  Bei X Window können andere X Programme die Eingaben mitlesen. D.h. wenn so ein nicht-root xorg Server gekapert wurde, dann muss der Angreifer nur noch mitloggen, bis ein entsprechender Nutzer su – in einem X Terminal eingibt und sich als root anmeldet.
  
  Antworten
  1. 2021-12-16
    
    Nick
    
    Guter Einwand. Als mittlerweile langjähriger Wayland Nutzer hatte ich das schon wieder vergessen. 😉
    
    Antworten