Risque
- Exécution de code arbitraire ;
- contournement de la politique de sécurité ;
- élévation de privilèges.
Systèmes affectés
Toutes les versions de X.Org X11 de 6.8.2 à 7.1.
Résumé
Une vulnérabilité a été identifiée dans le service graphique X.Org X11. Elle permettrait à un utilisateur malveillant d'exécuter sur le système vulnérable des commandes arbitraires avec les droits de l'administrateur.
Description
X.Org X11 est un service graphique qui gère l'interaction entre l'utilisateur (clavier, souris) et la machine. Il est largement utilisé avec les systèmes d'exploitation Unix, Linux ou BSD, mais n'est pas installé par défaut avec Apple MAC OS et Microsoft Windows.
Une vulnérabilité a été identifiée dans ce dernier. Une mauvaise vérification d'erreurs provoquées par la fonction setuid() peut être utilisée par une personne locale au système, afin de modifier des fichiers ou d'exécuter des commandes avec des droits plus élevés (administrateur, ou root).
Le problème existe également au cours de l'utilisation de bibliothèques dérivées de X.Org X11.
Solution
Se référer aux mises à jour de X.Org pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Mise à jour X.Org X11 pour la version 6.8.2 :
http://xorg.freedesktop.org/releases/X11R6.8.2/patches/
- Mise à jour X.Org X11 pour la version 6.9.0 :
http://xorg.freedesktop.org/releases/X11R6.9.0/patches/
- Mise à jour X.Org X11 pour la version 7.0 :
http://xorg.freedesktop.org/releases/X11R7.0/patches/
- Mise à jour X.Org X11 pour la version 7.1 :
http://xorg.freedesktop.org/releases/X11R7.1/patches/
- Bulletin de sécurité Gentoo GLSA-200608-25 du 28 août 2006 :
http://www.gentoo.org/security/en/glsa/glsa-200608-25.xml
- Bulletin de sécurité Ubuntu USN-341-1 du 06 septembre 2006 :
http://www.ubuntu.com/usn/usn-341-1
