Bulletin d'alerte Debian

DLA-120-2 xorg-server -- Mise à jour de sécurité pour LTS

Date du rapport :
4 mai 2015
Paquets concernés :
xorg-server
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-3418.
Plus de précisions :

Andreas Cord-Landwehr a rapporté un problème de plantage fréquent du serveur X X.Org avec une exception arithmétique lors de la maximisation de fenêtres d'applications.

Ce problème (CVE-2015-3418) est une régression qui a été introduite par la correction de CVE-2014-8092. La version référencée ci-dessous de xorg-server dans Debian Squeeze-lts corrige cette régression de la façon suivante :

Le code de vérification de longueur valide la hauteur et la largeur d'octet de PutImage en s'assurant que largeur d'octet>= INT32_MAX/hauteur. Si la hauteur est égale à zéro, cela génère une exception de division par zéro. La correction permet explicitement des requêtes de hauteur zéro, contournant la vérification de INT32_MAX (dans dix/dispatch.c).

Pour Debian 6 Squeeze, ces problèmes ont été corrigées dans xorg-server version 2:1.7.7-18+deb6u3