Bulletin d'alerte Debian

DLA-1482-1 libx11 -- Mise à jour de sécurité pour LTS

Date du rapport :
29 août 2018
Paquets concernés :
libx11
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2018-14598, CVE-2018-14599, CVE-2018-14600.
Plus de précisions :

Plusieurs problèmes ont été découverts dans libx11, l’interface du client de système X Window. Les fonctions XGetFontPath, XListExtensions et XListFonts sont vulnérables à un contournement par dépassement d’entier lors de réponses de serveur malveillant. Un tel serveur pourrait aussi envoyer une réponse dans laquelle la première chaîne déborde, faisant qu’une variable soit réglée à NULL puis soit libérée, aboutissant à une erreur de segmentation et un déni de service. La fonction XListExtensions dans ListExt.c interprète une variable comme signée au lieu de non signée, ayant pour conséquence une écriture hors limites (jusqu’à 128 octets), aboutissant à un déni de service ou éventuellement à l’exécution de code à distance.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 2:1.6.2-3+deb8u2.

Nous vous recommandons de mettre à jour vos paquets libx11.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.