IBM AIX X Server sérülékenységek

CH azonosító

CH-6106

Angol cím

IBM AIX X Server Two Vulnerabilities

Felfedezés dátuma

2011.12.14.

Súlyosság

Alacsony

Érintett rendszerek

AIX
IBM

Érintett verziók

AIX 6.x
AIX 7.x

Összefoglaló

Az IBM AIX olyan sérülékenysége vált ismertté, amelyet a rosszindulatú helyi felhasználók kihasználhatnak kiterjesztett jogosultságok megszerzésére.

Leírás

  1. Egy tömb indexelési hiba a XFree86 Misc kiterjesztésben speciálisan kialakított PassMessage kérés küldésével kihasználható tetszőleges kód futtatására.
  2. Egy egész túlcsordulás hiba az EVI kiterjesztésben speciálisan kialakított GetVisualInfo kéréssel kihasználható halom alapú puffer túlcsordulás okozására.
  3. Egy egész túlcsordulás hiba a MIT-SHM kiterjesztésben egy speciálisan kiszámolt méretű pixmap létrehozásával kihasználható tetszőleges memória címek felülírására.
  4. Egy tömb indexelési hiba a TOG-CUP kiterjesztés “ProcGetReservedColormapEntries()” függvényben kihasználható tetszőleges memória felfedésére.
  5. Az Xinput kiterjesztés függvényeiben található hiba, amikor a fogadott kérések bájtjainak sorrendbeli felcserélése történik, kihasználható halom memória kezelési hiba okozására.
  6. Egy hiba jelentkezik a biztonsági házirend argumentumok feldolgozásakor, amikor az X futtatása történik. Ez a fájlnevek “X -sp” parancshoz argumentumként történő átadásával kihasználható a korlátozott fájlok meglétének meghatározására.
  7. A PCF betűkészlet feldolgozásakor az X server-ben jelentkezik egy határhiba. Ez speciálisan kialakított 255-nél nagyobb “last col” és “first col” elemek közötti különbséggel rendelkező PCF_BDF_ENCODINGS táblát tartalmazó PCF betűkészlettel kihasználható puffer túlcsordulás okozására.

A sérülékenységeket a 6.1. és 7.1. verziókban ismerték fel.

Megoldás

Telepítse az Interim javításokat vagy alkalmazza az APAR-okat, amint elérhetőek.


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2010-3765 – Mozilla Multiple Products RCE sérülékenysége
CVE-2013-3918 – Microsoft Windows Out-of-Bounds Write sérülékenysége
CVE-2025-27915 – Synacor Zimbra Collaboration Suite (ZCS) Cross-site Scripting sérülékenysége
CVE-2010-3962 – Microsoft Internet Explorer Uninitialized Memory Corruption sérülékenysége
CVE-2021-22555 – Linux Kernel Heap Out-of-Bounds Write sérülékenysége
CVE-2025-4008 – Smartbedded Meteobridge Command Injection sérülékenysége
CVE-2015-7755 – Juniper ScreenOS Improper Authentication sérülékenysége
CVE-2017-1000353 – Jenkins RCE sérülékenysége
CVE-2014-6278 – GNU Bash OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »