ISN 2024-02: Sicherheitslücken in X.org
Erstveröffentlichung am 31. Januar 2024
CVSS 3.1: 7.8 (hoch)
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Zusammenfassung
Im in IGEL OS verwendeten X.org Display System wurden mehrere Sicherheitslücken entdeckt. Diese betreffen die folgenden IGEL-Produkte:
IGEL OS 12
IGEL OS 11
Details
Es wurde festgestellt, dass der X Server den Speicher beim Verarbeiten der DeviceFocusEvent- und ProcXIQueryPointer-APIs fehlerhaft handhabt (CVE-2023-6816). Dies kann dazu führen, dass der X Server abstürzt, sensible Informationen preisgibt oder die Ausführung beliebigen Codes ermöglicht. Die Schwachstelle ist als hoch eingestuft. Außerdem kann der Server das erneute Anhängen an ein anderes Master Gerät fehlerhaft handhaben, was potenziell zu einem Absturz oder zur Code Ausführung führen kann (CVE-2024-0229, hoch).
Mitigation
Um eine Remote Ausnutzung dieser Schwachstellen zu verhindern, sollte X11 Forwarding über SSH deaktiviert werden (siehe Anleitungen unten). Dies schützt jedoch nicht vor lokalen Bedrohungen.
IGEL OS 12: Öffnen Sie den Profile Configurator oder den Device Configurator und gehen Sie zu System > Remote Access > SSH Access und stellen Sie sicher, dass Permit X11 forwarding deaktiviert ist. Standardmäßig ist dieser Dienst deaktiviert. Bitte beachten Sie, dass X11 Forwarding wie auch andere SSH Zugriffseinstellungen nur wirksam ist, wenn der Parameter Enable aktiviert ist.
IGEL OS 11: Deaktivieren Sie X11 Forwarding wie beschrieben unter IGEL OS 11.10 > IGEL OS Articles > Security > Securing IGEL OS Endpoints > Configuring Remote Access and Management > Disabling X11 Forwarding.
Zusätzlich sollten TCP Verbindungen für X11 deaktiviert bleiben:
IGEL OS 12: Belassen Sie die Einstellung User Interface > Display Settings > Access Control > Disable TCP connections im aktuellen Zustand oder setzen Sie sie auf Standard zurück.
IGEL OS 11: Belassen Sie die Einstellung User Interface > Display > Access Control > Disable TCP connections im aktuellen Zustand oder setzen Sie sie auf Standard zurück.
Update - Anweisungen
IGEL OS 12: IGEL bereitet eine aktualisierte IGEL OS 12 Basissystem App vor.
IGEL OS 11: IGEL bereitet ein aktualisiertes IGEL OS 11 Release vor.
Quellen
CVE-2023-6816: CVE-2023-6816
CVE-2024-0229: CVE-2024-0229
CVE-2024-21885: CVE-2024-21885
CVE-2024-21886: CVE-2024-21886