1) 关于Xpra

Xpra被称为"X11的屏幕工具" https://xpra.org/ “Xpra转发并同步许多额外的桌面功能，使远程应用程序能够透明地集成到客户端的桌面环境中：音频输入输出、打印机、剪贴板、系统托盘、通知、网络摄像头等。”

2) 漏洞详情

利用服务器的"控制"子系统，客户端可以启用敏感的调试日志记录，例如：“network”、“crypto”、“keyboard"或"auth"类别。 新版本甚至包含了更易操作的GUI界面：

然后使用"文件传输"模块，可以检索服务器的日志文件。 或者，如果日志数据可以通过某种方式复制到剪贴板（例如使用xclip），也可以使用"剪贴板"子系统将这些日志数据传输到客户端。 即使是最基本的窗口转发也可以用于以像素形式传输数据，可以通过肉眼查看或在客户端进行OCR识别。

虽然用户通常需要先进行身份验证才能访问会话，但在许多使用场景中，日志数据仍可能暴露敏感信息：

• 系统配置、路径等
• 多客户端设置可能泄露其他用户的凭据，或记录所有键盘事件（实际上是键盘记录器）
• 代理会话可能泄露代理服务器的连接详细信息和凭据
• 服务器加密密钥等

3) 受影响版本

6.3.3稳定版和5.1.2 LTS之前的所有版本。 EPEL、Fedora、Debian、Ubuntu都在分发存在漏洞的版本。

Sent through the Full Disclosure mailing list https://nmap.org/mailman/listinfo/fulldisclosure Web Archives & RSS: https://seclists.org/fulldisclosure/