Излезе поредната версия на дисплей сървъра за Linux X.Org Server 1.20.3, при която е отстранена сериозна уязвимост.
От версии X.Org Server 1.29 включително до X.Org Server 1.20.2 е имало некоректно удостоверяване на команден параметър, което може да доведе до получаване на повишени права и перзаписване на файлове. Проблемът е заведен като CVE-2018-14665.
Когато X.Org Server е стартиран с повишени права може да бъде използван аргументът -modulepath, за да се зареди код без повишени права в X.Org Server процес с повишени права, при това от всеки един път в операционната система.
Ако се използва аргументът -logfile пък могат да бъдат презаписвани различни файлове във файловата система, с използването на процес с повишени права. Поправката всъщност се състои в това, че двата аргумента са премахнати, когато X.Org се използва с повишени права.
Повече можете да научите в официалния анонс.
