Bulletin d'alerte Debian
DSA-2661-1 xorg-server -- Divulgation d'informations
- Date du rapport :
- 17 avril 2013
- Paquets concernés :
- xorg-server
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2013-1940.
- Plus de précisions :
-
David Airlie et Peter Hutterer de Red Hat ont découvert que xorg-server, le serveur X de X.Org, était vulnérable à un défaut de divulgation d'informations lié au traitement des entrées et au branchement de périphériques.
Quand un serveur X est en marche mais n'est pas au premier plan (par exemple parce que l'affichage a basculé sur un terminal virtuel), un périphérique d'entrée nouvellement branché est toujours reconnu et pris en charge par le serveur X qui transmet les événements d'entrée à ses clients en arrière-plan.
Un attaquant pourrait dès lors récupérer des événements d'entrée non destinés aux clients X et comprenant des données sensibles.
Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2:1.7.7-16.
Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 2:1.12.4-6.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2:1.12.4-6.
Nous vous recommandons de mettre à jour vos paquets xorg-server.