Muy grave vulnerabilidad en Linux y X-Window

El agujero de seguridad puede permitir a un usuario local la ejecución de código arbitrario con los permisos de root, y es debido al olvido de un paréntesis en una sentencia.

El servidor de X-Windows que constituye la base de muchas distribuciones Linux y de otros sistemas operativos como Solaris o Mac OS X se ve afectado por un grave problema de seguridad que puede permitir a un usuario local de la máquina una escalada de privilegios hasta llegar a ejecutar programas con los permisos de root, el usuario que posee la máxima autoridad en la computadora.

Dicha vulnerabilidad, que afecta a los servidores X11R6.9.0 y X11R7.0.0 liberados en Diciembre de 2005, ha sido reportada por la consultora especializada en seguridad Coverity, y los responsables de X.org (organización encargada del desarrollo del servidor gráfico) la han calificado como la más grave desde el año 2000.

Según declaraciones de responsables del proyecto X.org a varios medios de comunicación online, el agujero de seguridad se encuentra ya corregido, aunque después de pasar por su página web, vemos que no hay ningún anuncio oficial al respecto.

Todo por un paréntesis

La explicación del porqué de este fallo a un profano en informática puede parecer ridícula, incluso estúpida: la falta de un paréntesis. No obstante, es algo muy común en programación, y que puede pasar fácilmente inadvertido al repasar el código.

Concretamente, el paréntesis que falta debería encontrarse en una función que comprueba la identidad del usuario, de ahí que el agujero permita la posibilidad de ejecutar código con los permisos de root.

El fallo ha sido encontrado gracias a una herramienta de escaneo automático de código fuente escrita explícitamente para buscar errores de este tipo por la misma compañía, que también está escaneando en busca de fallos de seguridad a otros proyectos open source como NetBSD, KDE, PostgreSQL o Mozilla Firefox.

Más información:

Coverity: Automated Error Prevention and Source Code Analysis
http://www.coverity.com/main.html

Información sobre los proyectos de código abierto escaneados con la herramienta de comprobación de código de Coverity
http://scan.coverity.com/

X.org Foundation
http://x.org/

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: