它不能用于入侵安全的计算机，但它仍然对攻击者有用，因为它可以迅速将简单的入侵变成糟糕的黑客行为。

虽然这个漏洞并不属于“as-bad-as-it-gets”缺陷，但一旦它的存在于周四公布，Linux和信息安全社区就不会忽视安全漏洞。

原因在于它所在的位置 - 即X.Org Server包 - 一个核心图形和窗口技术，是更著名的KDE和GNOME桌面界面套件的基础，并且在所有主要的Linux和BSD发行版为用户提供基于Windows的界面。

然而，根据安全研究人员Narendra Shinde撰写的一份报告，自2016年5月以来，X.Org Server软件包中包含一个漏洞，允许攻击者提升特权和/或覆盖本地系统上的任何文件，甚至是关键的操作系统数据。

该问题被追踪为CVE-2018-14665，是由于对两个命令行选项（即-logfile和-modulepath）的不当处理造成的，这两个选项允许攻击者插入并执行他们自己的恶意操作。只有当X.Org Server配置为以root权限运行时，该漏洞才可被利用，这是许多发行版的常见设置。

X.Org Foundation开发人员发布了X.Org Server 1.20.3来解决此问题。如果X.Org Server包以root权限运行，则此修复程序将禁用对这两个命令行参数的支持。

Red Hat Enterprise Linux, Fedora, CentOS, Debian, Ubuntu 和 OpenBSD 等发行版已被确认为受影响，其他较小的项目也很可能受到影响。

包含修补的X.Org Server软件包的安全更新预计将在以下几小时和几天内推出。

概念验证代码也于今天早些时候由英国网络安全公司Hacker House的联合创始人兼董事Matthew Hickey发布。

“攻击者可以用3个或更少的命令接管受影响的系统，”Hickey在Twitter上说。 “还有很多其他方法可以利用例如crontab。这对于它是多么微不足道很有趣。”

原文来自：https://www.linuxidc.com/Linux/2018-10/155021.htm

本文地址：https://www.linuxprobe.com/linux-bsd.html编辑：public，审核员：逄增宝

Linux命令大全：https://www.linuxcool.com/

Linux系统大全：https://www.linuxdown.com/

红帽认证RHCE考试心得：https://www.rhce.net/