Guillem Alsina -
El servidor de X-Windows que constituye la base de muchas distribuciones
Linux y de otros sistemas operativos como Solaris o Mac OS X se ve
afectado por un grave problema de seguridad que puede permitir a un
usuario local de la máquina una escalada de privilegios hasta llegar a
ejecutar programas con los permisos de root, el usuario que posee la
máxima autoridad en la computadora.
Dicha vulnerabilidad, que afecta a los servidores X11R6.9.0 y X11R7.0.0
liberados en Diciembre de 2005, ha sido reportada por la consultora
especializada en seguridad Coverity, y los responsables de X.org
(organización encargada del desarrollo del servidor gráfico) la han
calificado como la más grave desde el año 2000.
Según declaraciones de responsables del proyecto X.org a varios medios
de comunicación online, el agujero de seguridad se encuentra ya
corregido, aunque después de pasar por su página web, vemos que no hay
ningún anuncio oficial al respecto.
Todo por un paréntesis
La explicación del porqué de este fallo a un profano en informática
puede parecer ridícula, incluso estúpida: la falta de un paréntesis.. No
obstante, es algo muy común en programación, y que puede pasar
fácilmente inadvertido al repasar el código.
Concretamente, el paréntesis que falta debería encontrarse en una
función que comprueba la identidad del usuario, de ahí que el agujero
permita la posibilidad de ejecutar código con los permisos de root.
El fallo ha sido encontrado gracias a una herramienta de escaneo
automático de código fuente escrita explícitamente para buscar errores
de este tipo por la misma compañía, que también está escaneando en busca
de fallos de seguridad a otros proyectos open source como NetBSD, KDE,
PostgreSQL o Mozilla Firefox.
Más información:
Coverity: Automated Error Prevention and Source Code Analysis
http://www.coverity.com/main.html
Información sobre los proyectos de código abierto escaneados con la
herramienta de comprobación de código de Coverity
http://scan.coverity.com/
X.org Foundation
http://x.org/
|