研究人员发现，X.Org Server软件包中存在严重漏洞CVE-2018-14665，黑客可利用该漏洞或通过SSH提升权限执行恶意代码，并覆盖由root等特权用户拥有的任意文件。

图片来源于pixabay

该漏洞由印度软件安全工程师Narendra Shinde发现，主要成因是对两个命令行参数的不当处理，在2016年11月发布的X.Org服务器版本1.19.0中引入，一直未被发现。

黑客可通过“-modulepath”命令将用户提供的代码注入root权限的X.Org进程，或通过“-logfile”命令覆盖系统上的文件，并允许无密码访问root用户。OpenBSD和Linux系统受影响，包括Debian、Ubuntu、CentOS、Red Hat和Fedora等。

图片来源于Pexels

研究人员Matthew Hickey在Twitter上分享了概念验证漏洞利用代码，黑客可通过3个或更少的命令接管受影响系统。截至目前，X.Org已修复该漏洞。

来源：http://u6.gg/fq6ES，“ISEC安全e站”独家编译，转载请注明出处及本文链接。