Risque
Contournement de la politique de sécurité.
Systèmes affectés
Toutes les versions de XFree86.
Résumé
Une vulnérabilité présente dans le gestionnaire d'environnement graphique XDM de XFree86 permet à un utilisateur distant mal intentionné de se connecter au serveur même si celui-ci a été désactivé.
Description
XDM est un gestionnaire d'environnement graphique présent dans XFree86. Il permet de créer des sessions sur des plates-formes distantes via le protocole XDMCP (X Display Manager Control Protocol). Une vulnérabilité de XDM autorise les connexions distantes au serveur X même si celles-ci ont été désactivées dans le fichier de configuration xdm-config
. Cette vulnérabilité peut être exploitée par un individu mal intentionné afin d'accéder au serveur à distance.
Solution
Mettre à jour XFree86 (cf. section Documentation).
Documentation
- Site Internet de XFree86 :
http://www.xfree86.org
- Bulletin de sécurité Gentoo GLSA 200407-05 du 05 juillet 2004 :
http://www.gentoo.org/security/en/glsa/glsa-200407-05.xml
- Bulletin de sécurité Mandrake MDKSA-2004:073 du 27 juillet 2004 :
http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:073
- Bulletin de sécurité FreeBSD pour XFree86 du 28 juin 2004 :
http://www.vuxml.org/freebsd
- Bulletin de sécurité OpenBSD pour XFree86 du 26 mai 2004 :
http://www.openbsd.org/errata.html#xdm
- Description de la vulnérabilité XFree86 dans Bugzilla :
http://bugs.xfree86.org/show_bug.cgi?id=1376
- Référence CVE CAN-2004-0419 :
https://www.cve.org/CVERecord?id=CAN-2004-0419