中危 X2Go Server 'x2gocleansessions'本地权限提升漏洞

CVE编号

CVE-2013-7383

利用情况

暂无

补丁情况

官方补丁

披露时间

2014-05-21

漏洞描述

X2Go Server是X2Go组织的一套基于NX运行库的、以服务器环境为基础的远程桌面控制软件，它能够在局域网中快速连接到其他电脑上，并支持现代的认证技术，如读卡器、USB设备等。 X2Go Server存在本地提权漏洞。允许攻击者可以利用漏洞获取提升的权限，有助于完全控制受影响计算机。

解决建议

用户可联系供应商获得补丁信息：http://wiki.x2go.org/doku.php

参考链接
http://permalink.gmane.org/gmane.linux.terminal-server.x2go.announce/83
http://security.gentoo.org/glsa/glsa-201405-26.xml
http://www.openwall.com/lists/oss-security/2014/05/18/1
http://www.openwall.com/lists/oss-security/2014/05/19/4
http://www.securityfocus.com/bid/65001

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	x2go	x2go_server	*		Up to (including) 4.0.0.7
	运行在以下环境
	应用	x2go	x2go_server	4.0.0.0	-
	运行在以下环境
	应用	x2go	x2go_server	4.0.0.1	-
	运行在以下环境
	应用	x2go	x2go_server	4.0.0.2	-
	运行在以下环境
	应用	x2go	x2go_server	4.0.0.3	-
	运行在以下环境
	应用	x2go	x2go_server	4.0.0.4	-
	运行在以下环境
	应用	x2go	x2go_server	4.0.0.6	-
	运行在以下环境
	应用	x2go	x2go_server	4.0.1.0	-
	运行在以下环境
	应用	x2go	x2go_server	4.0.1.1	-
	运行在以下环境
	应用	x2go	x2go_server	4.0.1.2	-
	运行在以下环境
	应用	x2go	x2go_server	4.0.1.3	-
	运行在以下环境
	应用	x2go	x2go_server	4.0.1.4	-
	运行在以下环境
	应用	x2go	x2go_server	4.0.1.5	-
	运行在以下环境
	应用	x2go	x2go_server	4.0.1.6	-
	运行在以下环境
	应用	x2go	x2go_server	4.0.1.7	-
	运行在以下环境
	应用	x2go	x2go_server	4.0.1.8	-
	运行在以下环境
	应用	x2go	x2go_server	4.0.1.9	-
	运行在以下环境
	系统	debian_10	x2goserver	*		Up to (excluding) 4.1.0.3-4
	运行在以下环境
	系统	debian_11	x2goserver	*		Up to (excluding) 4.1.0.3-5
	运行在以下环境
	系统	debian_12	x2goserver	*		Up to (excluding) 4.1.0.3-7+deb12u1
	运行在以下环境
	系统	debian_sid	x2goserver	*		Up to (excluding) 4.1.0.6-1.1

阿里云评分 5.9

• 攻击路径 远程
• 攻击复杂度 容易
• 权限要求 无需权限
• 影响范围 全局影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-264	权限、特权和访问控制

Exp相关链接

- avd.aliyun.com