Risque
- Déni de service ;
- exécution de code arbitraire à distance.
Systèmes affectés
Toutes les versions de libXpm, XFree86 et X.Org.
Résumé
Plusieurs vulnérabilités ont été découvertes dans le code de libXpm, XFree86 et X.Org permettant à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire à distance.
Description
libXpm est une bibliothèque graphique de manipulation de fichiers au format XPM (Pixmap X).libXpm est notamment utilisée par XFree86 et X.Org.
Lors d'une revue de code, plusieurs vulnérabilités ont été découvertes permettant à un utilisateur mal intentionné, via un fichier au format XPM habilement constitué, de réaliser un déni de service ou d'exécuter du code arbitraire sur la plate-forme vulnérable.
Solution
Se référer au bulletin de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site Internet de XFree86 :
http://www.xfree.org
- Site Internet X.Org :
http://www.x.org
- Bulletin de sécurité SUSE SUSE-SA:2004:041 du 17 novembre 2004 :
http://www.suse.com/de/security/2004_41_xshared_XFree86_libs_xorg_x11_libs.html
- Bulletin de sécurité Gentoo GLSA 200411-28 du 19 novembre 2004 :
http://www.gentoo.org/security/en/glsa/glsa-200411-28.xml
- Bulletin de sécurité Mandrake MDKSA-2004:137 du 22 novembre 2004 :
http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:137
- Bulletin de sécurité Mandrake MDKSA-2004:138 du 22 novembre 2004 :
http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:138
- Bulletin de sécurité Debian DSA-607 du 10 décembre 2004 :
http://www.debian.org/security/2004/dsa-607
- Bulletin de sécurité Red Hat RHSA-2004:610 du 20 décembre 2004 :
http://rhn.redhat.com/errata/RHSA-2004-610.html
- Bulletin de sécurité Red Hat RHSA-2004:612 du 20 décembre 2004 :
http://rhn.redhat.com/errata/RHSA-2004-612.html
- Référence CVE CAN-2004-0914 :
https://www.cve.org/CVERecord?id=CAN-2004-0914
