Hi Mike, <br><br>Thanks for your prompt reply and patching! <br><br>Regards, <br>Hayawardh<br><br><div class="gmail_quote">On Fri, Jan 6, 2012 at 1:55 PM, Mike Gabriel <span dir="ltr"><<a href="mailto:mike.gabriel@das-netzwerkteam.de">mike.gabriel@das-netzwerkteam.de</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Hayawardh,<div><div class="h5"><br>
<br>
On Fr 06 Jan 2012 00:26:29 CET Hayawardh V wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi,<br>
<br>
There is an untrusted library search path vulnerability in x2gostartagent.<br>
<br>
Lines 188,189 in /usr/bin/x2gostartagent in the Ubuntu PPA package say:<br>
<br>
LD_LIBRARY_PATH="${LD_LIBRARY_<u></u>PATH}:${X2GO_LIB}"<br>
export LD_LIBRARY_PATH<br>
<br>
If one of these are empty, then there will be an empty addendum to<br>
LD_LIBRARY_PATH, which will make ld search for libraries in the current<br>
working directory.<br>
<br>
Programs xauth, x2goserver-run-extensions and x2gofeature (and the programs<br>
further spawned by them, including perl, basename, find, grep, sort, bash<br>
etc.) are launched with this insecure LD_LIBRARY_PATH.<br>
<br>
Thus, the current working directory will be searched for shared libraries<br>
when this command is launched.<br>
<br>
Usually, x2gostartagent is launched over ssh, and the current working<br>
directory will be the user's home directory.<br>
<br>
The problem is that if a user is tricked into downloading a malicious<br>
library off the Internet and saves it into his home directory, this<br>
malicious library will be loaded and can take control of the user's process<br>
when an x2go session is launched.<br>
<br>
The fix is simply to check if either LD_LIBRARY_PATH or X2GO_LIB are empty.<br>
I am pasting the patch below.<br>
<br>
Please keep me updated on this issue.<br>
<br>
Thanks,<br>
Hayawardh Vijayakumar<br>
<br>
--- /usr/bin/x2gostartagent     <a href="tel:2012-01-05%2017" value="+12012010517" target="_blank">2012-01-05 17</a>:48:07.843705023 -0500<br>
+++ /usr/bin/x2gostartagent.fixed       <a href="tel:2012-01-05%2016" value="+12012010516" target="_blank">2012-01-05 16</a>:44:41.839705377 -0500<br>
@@ -184,8 +184,13 @@<br>
<br>
 X2GO_COOKIE=`mcookie`<br>
<br>
+if [ ! ${LD_LIBRARY_PATH} ] || [ ! ${X2GO_LIB} ]<br>
+then<br>
+       LD_LIBRARY_PATH="${LD_LIBRARY_<u></u>PATH}${X2GO_LIB}"<br>
+else<br>
+       LD_LIBRARY_PATH="${LD_LIBRARY_<u></u>PATH}:${X2GO_LIB}"<br>
+fi<br>
<br>
-LD_LIBRARY_PATH="${LD_<u></u>LIBRARY_PATH}:${X2GO_LIB}"<br>
 export LD_LIBRARY_PATH<br>
<br>
 PATH="${PATH}:${X2GO_BIN}/"<br>
<br>
</blockquote>
<br></div></div>
Very sensible patch!!! Just committed...<span class="HOEnZb"><font color="#888888"><br>
<br>
Mike<br>
<br>
<br>
-- <br>
<br>
DAS-NETZWERKTEAM<br>
mike gabriel, dorfstr. 27, 24245 barmissen<br>
fon: <a href="tel:%2B49%20%284302%29%20281418" value="+494302281418" target="_blank">+49 (4302) 281418</a>, fax: <a href="tel:%2B49%20%284302%29%20281419" value="+494302281419" target="_blank">+49 (4302) 281419</a><br>
<br>
GnuPG Key ID 0xB588399B<br>
mail: <a href="mailto:mike.gabriel@das-netzwerkteam.de" target="_blank">mike.gabriel@das-netzwerkteam.<u></u>de</a>, <a href="http://das-netzwerkteam.de" target="_blank">http://das-netzwerkteam.de</a><br>
<br>
freeBusy:<br>
<a href="https://mail.das-netzwerkteam.de/freebusy/m.gabriel%40das-netzwerkteam.de.xfb" target="_blank">https://mail.das-netzwerkteam.<u></u>de/freebusy/m.gabriel%40das-<u></u>netzwerkteam.de.xfb</a><br>
</font></span><br>_______________________________________________<br>
X2go-Dev mailing list<br>
<a href="mailto:X2go-Dev@lists.berlios.de">X2go-Dev@lists.berlios.de</a><br>
<a href="https://lists.berlios.de/mailman/listinfo/x2go-dev" target="_blank">https://lists.berlios.de/mailman/listinfo/x2go-dev</a><br>
<br></blockquote></div><br>