Bug 19943 - CVE-2009-1573: xvfb-run places the magic cookie on the command line
Summary: CVE-2009-1573: xvfb-run places the magic cookie on the command line
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: xvfb-run (show other bugs)
Version: unstable
Hardware: all Linux
: P3 blocker
Assignee: placeholder@altlinux.org
QA Contact: qa-sisyphus
URL: http://bugs.debian.org/cgi-bin/bugrep...
Keywords: security
Depends on:
Blocks:
 
Reported: 2009-05-06 16:30 MSD by Vladimir Lettiev
Modified: 2009-06-25 15:26 MSD (History)
3 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Vladimir Lettiev 2009-05-06 16:30:20 MSD 
xvfb-run небезопасно передаёт значение MCOOKIE через командную строку, т.о. можно отследить это значение в списке запущенных процессов.
Comment 1 Dmitry V. Levin 2009-05-07 04:56:58 MSD 
Ввиду того, что xvfb-run редко используется за пределами hasher chroot (а в этом случае, если не используется ключ --listen-tcp, то перехваченная информация бесполезна), критичность этой ошибки довольно низкая.
Comment 2 Repository Robot 2009-06-25 15:26:11 MSD 
xvfb-run-1.4-alt1 -> sisyphus:

* Wed Jun 24 2009 Dmitry V. Levin <ldv@altlinux> 1.4-alt1

- Changed to use "xauth source", to avoid placing magic cookie
  on the command line (patch from Debian; closes: #19943).
- Changed default to create temporary file for auth cookie.
- Adopted xvfb-run(1) manpage from Debian.