Bulletin d'alerte Debian

DSA-2213-1 x11-xserver-utils -- Absence de vérification des entrées

Date du rapport :
8 avril 2011
Paquets concernés :
x11-xserver-utils
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 621423.
Dans le dictionnaire CVE du Mitre : CVE-2011-0465.
Plus de précisions :

Sebastian Krahmer a découvert que l'utilitaire xrdb de x11-xserver-utils, un outil pour gérer la base de données des ressources du serveur X, ne filtre pas correctement les noms d'hôte contrefaits. Cela permet a un attaquant distant d'exécuter du code arbitraire avec des droits de superutilisateur à condition que les connexions distantes à l'aide de xdmcp soient autorisées ou que l'attaquant soit capable de placer un serveur DHCP véreux sur le réseau de la victime.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 7.3+6.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 7.5+3.

Pour la distribution testing (Wheezy), ce problème sera corrigé prochainement.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 7.6+2.

Nous vous recommandons de mettre à jour vos paquets x11-xserver-utils.