CVE-2018-14665

Impact:: Important
Public Date:: 2018-10-25
CWE:: CWE-271

Bugzilla:: 1637761: CVE-2018-14665 xorg-x11-server: Xorg X server에서의 잘못된 권한 검사로 인한 권한 상승

Xorg X server를 시작할 때 -modulepath 및 -logfile 옵션에 대해서 잘못된 권한 검사로 인해 권한이 없는 사용자가 물리적 콘솔을 통해 시스템에 로그인하여 자신의 권한을 상승시키고 root 권한으로 임의의 코드를 실행할 수 있습니다.

Find out more about CVE-2018-14665 from the MITRE CVE dictionary dictionary and NIST NVD.

Statement

본 문제는 Red Hat Enterprise Linux 5 및 6 버전뿐만 아니라 Red Hat Enterprise Linux 7 버전 부터 7.4 이전 버전에 탑재된 xorg-x11-server 버전에는 영향을 미치지 않습니다. 이 버전에서는 상승된 권한으로 실행할 때 취약한 명령줄 옵션 사용을 허용하지 않기 때문입니다.

Red Hat Enterprise Linux의 기본 X 서버 설정에서는 시스템의 실제 콘솔에 로그인한 사용자만 Xorg X server를 실행할 수 있기 때문에 시스템에 원격 접근 권한 (예: SSH 사용)만 있는 사용자는 본 취약점을 악용할 수 없습니다.

CVSS v3 metrics

NOTE: The following CVSS v3 metrics and score provided are preliminary and subject to review.

CVSS3 Base Score	6.6
CVSS3 Base Metrics	CVSS:3.0/AV:P/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Attack Vector	Physical
Attack Complexity	Low
Privileges Required	Low
User Interaction	None
Scope	Unchanged
Confidentiality	High
Integrity Impact	High
Availability Impact	High

Affected Packages State

Platform	Package	State
Red Hat Enterprise Linux 7	xorg-x11-server	영향을 받음
Red Hat Enterprise Linux 6	xorg-x11-server	영향을 받지 않음
Red Hat Enterprise Linux 5	xorg-x11-server	영향을 받지 않음

Acknowledgements

Red Hat은 현재의 취약점에 대해 보고해 주신 Narendra Shinde님에게 감사의 말씀을 전합니다.

External References

https://lists.x.org/archives/xorg-announce/2018-October/002927.html

Last Modified 2018-10-30T01:22:39+00:00

Log in to Your Red Hat Account

Red Hat Account

Customer Portal

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

JBoss Development and Management

JBoss Integration and Automation

Mobile

Services

Tools

Red Hat Product Security Center

Security Updates

Resources

Customer Portal Community

Customer Events

Stories

Warning message