Bug 19943

Summary: CVE-2009-1573: xvfb-run places the magic cookie on the command line
Product: Sisyphus Reporter: Vladimir Lettiev <crux>
Component: xvfb-runAssignee: placeholder <placeholder>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: blocker    
Priority: P3 CC: glebfm, ldv, placeholder
Version: unstableKeywords: security
Hardware: all   
OS: Linux   
URL: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=526678

Description Vladimir Lettiev 2009-05-06 16:30:20 MSD 
xvfb-run небезопасно передаёт значение MCOOKIE через командную строку, т.о. можно отследить это значение в списке запущенных процессов.
Comment 1 Dmitry V. Levin 2009-05-07 04:56:58 MSD 
Ввиду того, что xvfb-run редко используется за пределами hasher chroot (а в этом случае, если не используется ключ --listen-tcp, то перехваченная информация бесполезна), критичность этой ошибки довольно низкая.
Comment 2 Repository Robot 2009-06-25 15:26:11 MSD 
xvfb-run-1.4-alt1 -> sisyphus:

* Wed Jun 24 2009 Dmitry V. Levin <ldv@altlinux> 1.4-alt1

- Changed to use "xauth source", to avoid placing magic cookie
  on the command line (patch from Debian; closes: #19943).
- Changed default to create temporary file for auth cookie.
- Adopted xvfb-run(1) manpage from Debian.