X.Org Server、2年近く前から存在した脆弱性修正

headless曰く、　10月25日にリリースされたX.Org Server 1.20.3では、2年近く前から存在し、最近発見された権限昇格や任意ファイル上書きが可能になる脆弱性が修正されている（アナウンス、Phoronix）。

　この脆弱性CVE-2018-14665は、コマンドラインパラメーター（-modulepathおよび-logfile）の検証が適切に行われないことが原因だ。そのため、X.Org Serverが特権実行されている場合に権限昇格（-modulepath）または任意ファイル上書き（-logfile）が可能になる（セキュリティアドバイザリー）。

　原因となった変更は2016年5月にコミットされたもので、2016年11月リリースのX.Org Server 1.19.0で導入され、X.Org Server 1.20.2まで脆弱性の影響を受ける。X.Org Server 1.20.3ではX.Org Serverが特権実行されている場合にこれらのコマンドラインパラメーターを無効化する形で修正が行われた。

　スラドのコメントを読む | セキュリティセクション | X | セキュリティ | バグ

　関連ストーリー：
X11リリース当初から存在する脆弱性など、13件のCVEをX.Orgが公表 2014年12月13日
1991年から存在していたX11のバグが発見される 2014年01月13日
Xにローカルセキュリティホール 2007年01月11日