xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
English Version

OpenBSD的xhost存在漏洞


发布时间:2001-08-29
更新时间:2001-08-29
严重程度:
威胁程度:远程非授权文件存取
错误类型:访问验证错误
利用方式:服务器模式

受影响系统
OpenBSD 2.8
详细描述
"xhost"是对X SERVER的访问控制程序,允许用户控制谁可以远程访问X SERVER,在OpenBSD2.8(可能其他系统也存在此问题)允许任意攻击者在当"xhost"过滤规则使用的情况下访问X SERVER,看起来在OpenBSD2.8系统中没有很好的正确的运行。

测试代码
你可以使用下面的操作测试系统是否存在问题:
1,设置一系统运行X SERVER,并运行"xhost -",标志它为"System A"
2,然后在"System B"做如下操作:

    sys_b# echo "Vulnerable" >> /tmp/vuln
        sys_b# export DISPLAY=ip of System A:0.0
        sys_b# xmessage -file /tmp/vuln &
如果在系统A上的X SERVER出现"Vulnerable"闪烁,表示系统存在问题。

解决方案
使用防火墙过滤端口6000。

相关信息
此问题由Teknophreak 发现。