Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2213-1 x11-xserver-utils

Debians sikkerhedsbulletin

DSA-2213-1 x11-xserver-utils -- manglende fornuftighedskontrol af inddata

Rapporteret den:

8. apr 2011

Berørte pakker:

x11-xserver-utils

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 621423.
I Mitres CVE-ordbog: CVE-2011-0465.

Yderligere oplysninger:

Sebastian Krahmer opdagede at værktøjet xrdb fra x11-xserver-utils, et ressourcedatabaseværktøj til X-serveren, ikke på korrekt vis filtrerede fabrikerede værtsnavne. Dermed var det muligt for en fjernangriber at udføre vilkårlig kode med root-rettigheder, forudsat at enten eller fjernlogin via xdmcp var tilladt eller angriberen kunne indsætte en fjentligsindet DHCP-server i offerets netværk.

I den gamle stabile distribution (lenny), er dette problem rettet i version 7.3+6.

I den stabile distribution (squeeze), er dette problem rettet i version 7.5+3.

I distributionen testing (wheezy), vil dette problem snart blive rettet.

I den ustabile distribution (sid), er dette problem rettet i version 7.6+2.

Vi anbefaler at du opgraderer dine x11-xserver-utils-pakker.