发布日期：2000-11-08
更新日期：2000-11-08

受影响系统：

xfce 在更正日期(2000-11-01)之前的版本(ports)
  - FreeBSD 3.5.1
  - FreeBSD 4.1.1

描述：

---

xfce 3.52以前的版本所带的一个启动脚本错误的允许用户访问本地系统中其他
用户的X显示窗口。以至于用户可以监视和控制显示窗口的内容，包括键盘和鼠
标设备的输入。例如，这将允许他们监视其他用户在终端窗口中输入的口令内
容。

xfce port缺省没有安装，也不是FreeBSD自身的一部分：它只是很多移植到
FreeBSD下的程序之一，FreeBSD收集了很多这样的程序，包含4000多个第三方
的应用程序，它们可以根据用户的需要选择安装到FreeBSD系统中。


<* 来源： Nicholas Brawn (nickbrawn@ONETEL.COM)
          FreeBSD Security Advisory: FreeBSD-SA-00:65 xfce
*>


建议：

---

临时解决方法:

NSFOCUS建议您在没有升级程序之前按照FreeBSD安全公告中的方法去做：

如果您已经安装了xfce port/package, 暂时卸载它。或者在下列文件中删除包
含"xhost +$HOSTNAME"的那些行：

/usr/X11R6/etc/xfce/xinitrc
/usr/X11R6/etc/xfce/xinitrc.mwm


厂商补丁：

您可以采用下列方法中的任意一种：

1) 升级您的整个ports集合，并重建xfce port.

2) 写在旧的软件版本并安装正确日期之后的新软件包：

ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-3-stable/x11-wm/xfce-3.12.tgz
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/x11-wm/xfce-3.12.tgz
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/alpha/packages-4-stable/x11-wm/xfce-3.12.tgz
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-5-current/x11-wm/xfce-3.12.tgz
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/alpha/packages-5-current/x11-wm/xfce-3.12.tgz

3) 从下列地址下载一个新的port架构：

http://www.freebsd.org/ports/

并使用它重建那个port.

4) 使用portcheckout工具的自动更新选项。这个工具通常在：/usr/ports/devel/portcheckout
您也可以从下列地址下载：

ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-3-stable/devel/portcheckout-2.0.tgz
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/devel/portcheckout-2.0.tgz
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/alpha/packages-4-stable/devel/portcheckout-2.0.tgz
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-5-current/devel/portcheckout-2.0.tgz
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/alpha/packages-5-current/devel/portcheckout-2.0.tgz


浏览次数：6084
严重程度：0（网友投票）