Debians sikkerhedsbulletin

DSA-2213-1 x11-xserver-utils -- manglende fornuftighedskontrol af inddata

Rapporteret den:
8. apr 2011
Berørte pakker:
x11-xserver-utils
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 621423.
I Mitres CVE-ordbog: CVE-2011-0465.
Yderligere oplysninger:

Sebastian Krahmer opdagede at værktøjet xrdb fra x11-xserver-utils, et ressourcedatabaseværktøj til X-serveren, ikke på korrekt vis filtrerede fabrikerede værtsnavne. Dermed var det muligt for en fjernangriber at udføre vilkårlig kode med root-rettigheder, forudsat at enten eller fjernlogin via xdmcp var tilladt eller angriberen kunne indsætte en fjentligsindet DHCP-server i offerets netværk.

I den gamle stabile distribution (lenny), er dette problem rettet i version 7.3+6.

I den stabile distribution (squeeze), er dette problem rettet i version 7.5+3.

I distributionen testing (wheezy), vil dette problem snart blive rettet.

I den ustabile distribution (sid), er dette problem rettet i version 7.6+2.

Vi anbefaler at du opgraderer dine x11-xserver-utils-pakker.