X.Org Server (X.Org Foundation Open Source Public Implementation of X11) — это свободная реализация сервера X Window System с открытым исходным кодом. Используется во множестве -систем и в большинстве Linux- и BSD-дистрибутивов.
Обнаруженный баг позволяет атакующему, который уже имеет ограниченный доступ к уязвимой системе (через терминал или SSH), повысить свои привилегии и получить root-доступ. Нашедший уязвимость исследователь, Нарендра Шайнди (Narendra Shinde), пишет, что проблема появилась в коде в коде X.Org Server еще , в версии 1.19.0.
Эксплуатируя баг, злоумышленник может повышать привилегии и презаписывать любые файлы в локальной системе, включая критически важные для работы ОС. Проблема, в том числе, представляет угрозу для .
Корень уязвимости кроется в некорректной валидации параметров командной строки. Речь идет об использовании -logfile и -modulepath. Для эксплуатации уязвимости нужно чтобы сам X.Org Server имел root-привилегии, что во многих дистрибутивах является конфигурацией по умолчанию.
Разработчики X.Org Foundation уже выпустили исправленную версию . ИБ-специалисты рекомендуют обновляться как можно быстрее, так как эксплуатация бага очень проста. К примеру, британский эксперт и глава Hacker House Мэтью Хики (Matthew Hickey) уже продемонстрировал в Twitter proof-of-concept эксплоит.
