Bug 19943 - CVE-2009-1573: xvfb-run places the magic cookie on the command line
: CVE-2009-1573: xvfb-run places the magic cookie on the command line
Status: CLOSED FIXED
: Sisyphus
(All bugs in Sisyphus/xvfb-run)
: unstable
: all Linux
: P3 blocker
Assigned To:
:
: http://bugs.debian.org/cgi-bin/bugrep...
: security
:
:
  Show dependency tree
 
Reported: 2009-05-06 16:30 by
Modified: 2009-06-25 15:26 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2009-05-06 16:30:20
xvfb-run небезопасно передаёт значение MCOOKIE через командную строку, т.о.
можно отследить это значение в списке запущенных процессов.
------- Comment #1 From 2009-05-07 04:56:58 -------
Ввиду того, что xvfb-run редко используется за пределами hasher chroot (а в
этом случае, если не используется ключ --listen-tcp, то перехваченная
информация бесполезна), критичность этой ошибки довольно низкая.
------- Comment #2 From 2009-06-25 15:26:11 -------
xvfb-run-1.4-alt1 -> sisyphus:

* Wed Jun 24 2009 Dmitry V. Levin <ldv@altlinux> 1.4-alt1

- Changed to use "xauth source", to avoid placing magic cookie
  on the command line (patch from Debian; closes: #19943).
- Changed default to create temporary file for auth cookie.
- Adopted xvfb-run(1) manpage from Debian.