Problema de seguridad en X Display Manager de Sun Solaris 8, 9 y 10

Existe una condición de carrera en el script Xsession ejecutado por xdm que puede llevar a provocar dos problemas de seguridad.

El primero de los fallos, permitiría a un usuario no privilegiado ver el fichero de error de xdm de otros usuarios en $HOME/.xsession-error.

Por otra parte, un usuario no privilegiado podría ser capaz de ver el fichero alternativo de xdm de otro usuario, en ${TMP-/tmp}/xses-$USER, que se usa cuando el anterior fichero descrito no ha podido ser creado.

Para la versión 10, las actualizaciones están disponibles desde:

Solaris 10 (Plataforma SPARC): http://sunsolve9.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-124457-01-1

Solaris 10 (Plataforma x86): http://sunsolve9.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-124458-01-1

También es posible modificar el fichero de configuración de xdm (xdm-config) y crear un fichero Xsession nuevo usando estos comandos.

# cd /usr/openwin/lib/X11/xdm

# mv xdm-config xdm-config.orig

# sed -e ‘s/cp /dev/null “$errfile”/umask 077 && cp /dev/null “$errfile”/’ Xsession> /etc/X11/Xsession

# sed -e ‘s//usr/openwin/lib/X11/xdm/Xsession//etc/X11/Xsession/’ xdm-config.orig> xdm-config

Lea también : Hotscan360 ayuda a las empresas a luchar contra delitos financieros