Risque
- Déni de service ;
- Impossibilité de se connecter au travers de l'interface gdm.
Systèmes affectés
- Pour GNOME 2.2 : versions antérieures à 2.4.1.7 ;
- pour GNOME 2.4 : versions antérieures à 2.4.4.4.
Résumé
Deux vulnérabilités dans certaines versions du logiciel de connexion gdm peuvent provoquer des dénis de service pouvant empêcher un utilisateur légitime de se connecter.
Description
Gnome Display Manager (gdm) est un logiciel de gestion des sessions XWindows qui présente une fenêtre de connexion.
Deux vulnérabilités dans gdm permettent de provoquer un déni de service sur la machine sur laquelle tourne ce logiciel :
- un utilisateur peut exploiter une caractéristique de gdm dans le but d'épuiser la mémoire disponible, ce qui aura pour effet de tuer le processus gdm.
- une limitation dans la gestion des commandes traitées par gdm peut être exploitée afin de saturer gdm de commandes inutiles, rendant impossible le traitement de commandes ultérieures valides (comme par exemple une demande de connexion).
Solution
Les utilisateurs de gdm sont invités à migrer vers une version qui corrige ces vulnérabilités, c'est-à-dire :
- à partir des sources appliquer une version supérieure ou égale à 2.4.1.7 ou 2.4.4.4 ;
- à partir d'un correctif fourni par votre vendeur, prendre le correctif qui corrige les vulnérabilités CAN-2003-0793 et CAN-2003-0794.
gdm tourne sous la forme d'un daemon. Installer le correctif peut ne pas suffire si la version vulnérable tourne encore en mémoire. Assurez-vous de bien redémarrer le daemon gdm.
Documentation
- Le site de référence du projet gdm :
http://www.jirka.org/gdm
- Référence aux deux vulnérabilités dans la base CVE :
https://www.cve.org/CVERecord?id=CAN-2003-0793
https://www.cve.org/CVERecord?id=CAN-2003-0794
- Avis de sécurité Mandrake MDKSA:100
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:100
