Bulletin d'alerte Debian

DLA-2436-1 sddm -- Mise à jour de sécurité pour LTS

Date du rapport :
6 novembre 2020
Paquets concernés :
sddm
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-28049.
Plus de précisions :

Il a été découvert qu’il existait un problème dans le gestionnaire d’affichage sddm par lequel des utilisateurs locaux non privilégiés pourraient créer une connexion sur le serveur X.

  • CVE-2020-28049

    Un problème a été découvert dans SDDM avant sa version 0.19.0. Celui-ci démarrait de manière incorrecte le serveur X de telle façon que, pendant une courte période, des utilisateurs locaux non privilégiés pouvaient créer une connexion sur le serveur X sans fournir l’authentification appropriée. Un attaquant local pouvait donc accéder au contenu de l’affichage du serveur X et, par exemple, intercepter les frappes de clavier ou accéder au presse-papier. Cela était provoqué par une situation de compétition lors de la création du fichier Xauthority.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 0.14.0-4+deb9u2.

Nous vous recommandons de mettre à jour vos paquets sddm.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.