Bulletin d'alerte Debian

DSA-2661-1 xorg-server -- Divulgation d'informations

Date du rapport :
17 avril 2013
Paquets concernés :
xorg-server
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-1940.
Plus de précisions :

David Airlie et Peter Hutterer de Red Hat ont découvert que xorg-server, le serveur X de X.Org, était vulnérable à un défaut de divulgation d'informations lié au traitement des entrées et au branchement de périphériques.

Quand un serveur X est en marche mais n'est pas au premier plan (par exemple parce que l'affichage a basculé sur un terminal virtuel), un périphérique d'entrée nouvellement branché est toujours reconnu et pris en charge par le serveur X qui transmet les événements d'entrée à ses clients en arrière-plan.

Un attaquant pourrait dès lors récupérer des événements d'entrée non destinés aux clients X et comprenant des données sensibles.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2:1.7.7-16.

Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 2:1.12.4-6.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2:1.12.4-6.

Nous vous recommandons de mettre à jour vos paquets xorg-server.