Se descubre una vulnerabilidad en X11 de hace 23 años

Según informan en Hispasec, ha sido descubierta una vulnerabilidad que afectaba al servidor gráfico X11 desde hace 23 años, por la que un atacante local podría realizar una escalada de privilegios a root.

El error en el código de X11 ha sido descubierto por casualidad y los desarrolladores ya han publicado un parche que cierra este agujero, que no deja de ser una anécdota…, significativa, eso sí. Porque al tiempo que lleva abierta la herida -desde 1991, nada menos- hay que sumarle el requisito de acceso local a la máquina.

Pero no deja de ser significativa esta noticia, porque demuestra -una vez más- que no hay software libre de errores, ni siquiera si el código fuente del mismo está disponible como software libre -sin redundancia-. Es decir, esta vulnerabilidad u otras podrían ser del conocimiento de expertos no relacionados con el proyecto, precisamente. Nadie puede asegurar lo contrario.

Los pormenores técnicos de este hallazgo los tenéis en la publicación original de Hispasec. La única recomendación que podemos daros a este respecto -el de la seguridad de vuestro sistema- es que mantengáis todo el software siempre actualizado a su última versión estable. Eso como mínimo.

Sea como fuere, ya sabemos que X11 tiene fecha de caducidad en GNU/Linux en favor de nuevos desarrollos, como Wayland o Mir, por lo que la retirada de este viejo dinosaurio solo es cuestión de tiempo. ¿Cuánto tiempo? Esa es la cuestión -ahora sí, valga la redundancia-.

Servidor gráfico vulnerabilidad X11

Juan Pablo Suarez Rios
un agujero en 11 años y todos presumiendo de seguridad… Acá es donde queda todo el ego sumido.
- Andros
  Seguro es, ya que nadie lo ha usado XD
  - pcero
    que sepamos…
  - Ds23yTube
    La NSA seguro que sí xDD
    - orbayo
      jajaja
    - roader
      ¡Sabia que furgoneta de la pizzeria era sospechosa !
- Luis Humberto Balam Gonzalez
  Lo impresionante es que nadie lo haya usado… siendo X11 todos los SO basados en él serían vulnerables.
  - Richard Alexander Armuelles Ze
    varios usan Wayland
    - Luis Humberto Balam Gonzalez
      En serio?…. que Distro ESTABLE usa Wayland como servidor gráfico por defecto (no en estado beta, ni RC,)…
      - Eduardo Medina
        Que yo sepa, ninguna, y con Ubuntu 14.04 usando Xorg y SteamOS también, creo que tenemos Xorg para mucho tiempo aún.
      - Richard Alexander Armuelles Ze
        he dicho algo de distro estable? he dicho q se usa, yo soy usuario de Xorg porque simplemente si algo funciona bien para que tocarlo
      - pillabichos
        Has dicho ‘varios’, ¿nos nombras varias?
      - Javier Ortega Conde-Malkavian
        Sailfish OS (no ha dicho que sean sistemas operativos de PC).
      - Gustavo Castro
        RebeccaBlackOS (no es broma) http://sourceforge.net/projects/rebeccablackos/
- NexusLM
  Nadie puede asegurar que no se haya usado y lo peor del asunto es que no lo descubrio un programador sino un analizador estatico, algo tan simple y nadie lo habia hecho antes.
- jorge luis
  LO EXTRAÑO QUE PRACTICAMENTE NO FUE EXPLOTADO POR LO HATKERS sigue siendo mas seguro linux que windows incluso que
  mac os
  - Juan Pablo Suarez Rios
    Lol
- VaryHeavy
  Yo lo que sí puedo asegurar es que en los más de 6 años que llevo usando Linux como sistema principal en mis máquinas nunca he tenido que formatear y reinstalar el sistema porque un virus, troyano o malware me lo haya jodido.
AlejandroGR
O_O
bill
censura
Eldes
Lo importante es que lo puedan solucionar.
Marcial del Valle
Lo que pasó pasó, pero cuantas quedan aun sin descubrir.
eliotime3000
♫Nadie es perfecto en el mundo…♫
Ya, en serio, ahora entiendo por qué todo el mundo quiere largarse a Wayland.
- roader
  Por el mismo motivo por el que la gente no quiere un senado , ¿de que sirve tener dos cosas a la vez que pueden hacer los mismo ? digo esto , por que gran parte del codigo/funciones esta integrado en el kernel , y sin embargo estamos obligados a cargar con lo arcaico de su infraestructura , X11 es el servidor y el cliente , para que , si el propio kernel puede ser el servidor , usar otro mas superpuesto , adjunto imagenes del funcionamiento
  http://upload.wikimedia.org/wikipedia/commons/a/a7/Wayland_display_server_protocol.svg
  http://upload.wikimedia.org/wikipedia/commons/1/12/Esquema_de_las_capas_de_la_interfaz_gr%C3%A1fica_de_usuario.svg
  - Francesco Diaz
    lo de quitar el senado tiene trampa xD, porque aumentarían al doble el nombre de parlamentarios hahahahaha
Leo
A buenas horas…. bueno, mejor tarde que nunca
Ds23yTube
Yo nací en ese año, un bueno año xDD
- roader
  vamos a ver el periodico del dia en el que naci …….
  - Ds23yTube
    Pues nace un bebé con dos cabezas, ahhh que se llama Roader como tú. xDD
  - Ds23yTube
    jajajajaj, vale vaya con las Cookies xD
DELTOYA
Si nadie se ha dado cuenta en 23 años es que las vulnerabilidades de Gnu/Linux no son tan evidentes como en otros sistemas.
- roader
  y cualquiera puede auditarlas , por lo que es mucho mas probable que se resuelvan , varios hackers las explotan por diversion , y luego las resuelven
- pillabichos
  Tienes dos cajas una abierta y otra cerrada, si no miras en la abierta no verás lo que hay dentro pero en la cerrada da igual que mires o que no mires que no vas a ver un pimiento.
  - DELTOYA
    ya te digo que si en 23 años nadie se había dado cuenta es que ha tenido que ser algo muy rebuscado porque como ha dicho @disqus_yES4tBIeTD:disqus el código es auditado cada 2 por 3.
    Estoy de acuerdo, el problema son las cajas cerradas con un bonito papel y sus “simplemente funciona”…
Daniel Cremades
Se ve por los comentarios, que nadie ha leído lo de que hace falta ACCESO LOCAL…
- Claudio Ramirez
  pues sigue siendo una vulnerabilidad grave sobre todo para empresas que usan linux en sus workstations y por obias razones no quieren que cualquier empleado pueda instalar o desinstalar cosas
  - Daniel Cremades
    No he dicho que no lo sea. En local (teniendo acceso físico a la maquina), claro que es una vulnerabilidad grave.
    Es por lo que estaban diciendo en los comentarios sobre la NSA, hackers, etc.
roader
Es simple , primero, necesitas soporte local ,y nadie va a atacar a un desktop a traves de esto , ¿que server medianamente grande tiene xorg instalado? siempre se ha savbido que los servidores graficos son un coladero de agujeros (y windows lo tiene integrado en el kernel , ya sabeis a lo que me refiero) por cosas como esta un micronucleo (como mac) o un nucleo monolitico (como linux y bsd, aunque linux tiene un ring de carga dinamica de modulos que a veces ha hecho que lo confundan con un hibrido) son siempre mas seguro que un hibrido , sigo esperando a ver que nos pueden ofrecer los exonucleos
Hector Macias Ayala
Pero esto solamente le pasa a Windows y ahí no importa nunca si se resolvió rápido o no, si afectó realmente a alguien o no, si se necesitaba acceso local o no, si afectaba a tal o cual programa que ya nadie usa o lo que fuera.
DaLinuxCookie
Jajaja! ese bug es más viejo que yo xD
pillabichos
El primer paso para corregir un error es conocer de su existencia, si hubiera sido software privativo nunca nos hubieramos enterado de ese error como tantos ‘errores’ ochenteros que nunca sabremos de su existencia.
satoshi
Esto me hace rrecordar a la vulnerabilidad de X11 descubierta hace no mucho durante el desarrollo de MeeGo (Entonces Moblin) que por cierto fue comentado en esta web tambien
https://www.muylinux.com/2009/07/10/moblin-resuelve-un-error-de-linux-de-hace-20-anos
Tambien me recuerda a las palabras de J. Rutkowska sobre X11: h”La arquitectura del servidor X fue diseñada hace mucho tiempo por algunos felices hippies que pensaron que todas las aplicaciones son buenas y no maliciosas…”.
Eduardo Campos
Es mejor tarde que nunca xD
Pingback: 안전놀이터()
Pingback: 중계방송()

Se descubre una vulnerabilidad en X11 de hace 23 años

Lo último

Suscríbete gratis a MuyLinux

Gracias, recibirás un correo para confirmar tu suscripción.