发布日期：2000-10-04
更新日期：2000-10-04

受影响系统：

XFree86 XFce 3.5.1

不受影响系统：

XFree86 XFce 3.5.2

描述：

---

XFce是用于各种UNIX系统的一个桌面环境。XFce的3.5.1版本发行时在其启动脚本/etc/X11/xfce/xinitrc中包含如下一行命令：
xhost +$HOSTNAME
这在多用户系统中是危险的，因为其他用户可以实施与X-window相关的攻击（如击键记录、窗口监视等）。这可能会间接地导致特权提升（例如，如果攻击者记录下用户通过su命令切换到root帐户）或者其它危害（如果其它主机上的认证过程被记录下来）。

<* 来源：Nicholas Brawn (nickbrawn@onetel.com) *>


测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

参看漏洞描述部分。



建议：

---

临时解决办法：

    NSFOCUS建议您在未得到厂商补丁之前先将启动脚本中如下一句注释掉，并重启XFce。
xhost +$HOSTNAME

厂商补丁：

    升级到XFCE 3.5.2。

浏览次数：6175
严重程度：0（网友投票）