Risque

  • Exécution de code arbitraire à distance ;
  • déni de service.

Systèmes affectés

  • Solaris versions 2.5.1 à 9 ;
  • SGI IRIX version 6.5.13 et antérieures ;
  • HP-UX 10.10, 10.20, 10.24, 11.00, 11.04, 11.11 et 11.22 ;
  • IBM AIX 4.3, 5.1 et 5.2.

Résumé

Une vulnérabilité du service xfs permet à un utilisateur mal intentionné d'exécuter du code arbitraire, à distance, sur la machine vulnérable.

Description

Le serveur xfs (XWindow Font Serveur) est utilisé sur les serveurs X Window pour distribuer les polices de caractères aux clients X Window.

Une vulnérabilité de type débordement de mémoire permet à un utilisateur mal intentionné d'exécuter, à distance, du code arbitraire sur la machine vulnérable.

Contournement provisoire

Filtrer au niveau du pare-feu le port 7100/tcp utilisé par xfs afin d'empêcher l'exploitation de cette vulnérabilité depuis l'Internet.

Solution

Se référer aux bulletins de sécurité des différents éditeurs pour l'obtention des correctifs.

Documentation