基于微软Windows平台的X Server缺省配置漏洞

发布日期：2000-06-29
更新日期：2000-06-29

受影响系统：

Hummingbird Exceed 6.1
Hummingbird Exceed 6.0.2
Hummingbird Exceed 6.0.1

描述：

---

Hummingbird Exceed 6.1/6.0.1/6.0.2是常用的Windows平台下的X server仿真程序。
上述基于微软Windows平台的X Server常常用于使用远程Unix主机上的X Client，比
如NetScape。但是大多数情况下这些基于Windows平台的X Server的缺省安全设置相
当于基于Unix平台的X Server执行过xhost 命令后的状态，显然这是一个著名的安
全隐患，一个X Client有可能截获另一个X Client的击键以及其他信息，包括用户
名/口令，还有可能直接向另一个X Client发送消息。

注意这个漏洞不是软件本身代码设计的问题，而是缺省配置不当。

<* 来源：Brian Shuhart shuhartb@ritchie.disa.mil *>


测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

这是作者提供的一份文档，介绍了关于利用这个漏洞的技术细节，感兴趣的朋友可以
自行参看：http://www.ducktank.net/tips/X.html



建议：

---

限制可连结的X client 来源。
这些X Server可以配置成类似Unix系统下xhost <hostIp>效果。

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!