19943 2009-05-06 16:30:20 +0400 CVE-2009-1573: xvfb-run places the magic cookie on the command line 2009-06-25 15:26:11 +0400 1 1 4 Development Sisyphus xvfb-run unstable all Linux CLOSED FIXED http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=526678 security P3 blocker --- 1 crux placeholder glebfm ldv placeholder vt qa-sisyphus oldest_to_newest 90843 0 crux 2009-05-06 16:30:20 +0400 xvfb-run небезопасно передаёт значение MCOOKIE через командную строку, т.о. можно отследить это значение в списке запущенных процессов. 90881 1 ldv 2009-05-07 04:56:58 +0400 Ввиду того, что xvfb-run редко используется за пределами hasher chroot (а в этом случае, если не используется ключ --listen-tcp, то перехваченная информация бесполезна), критичность этой ошибки довольно низкая. 93724 2 repository-robot 2009-06-25 15:26:11 +0400 xvfb-run-1.4-alt1 -> sisyphus: * Wed Jun 24 2009 Dmitry V. Levin <ldv@altlinux> 1.4-alt1 - Changed to use "xauth source", to avoid placing magic cookie on the command line (patch from Debian; closes: #19943). - Changed default to create temporary file for auth cookie. - Adopted xvfb-run(1) manpage from Debian.