S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 15 décembre 2006
N° CERTA-2006-AVI-556
Affaire suivie par: CERT-FR
le 15 décembre 2006

Avis du CERT-FR

Objet: Vulnérabilité de GNOME Display Manager (GDM)

Gestion du document

Référence CERTA-2006-AVI-556
Titre Vulnérabilité de GNOME Display Manager (GDM)
Date de la première version 15 décembre 2006
Date de la dernière version 15 décembre 2006
Source(s) Bulletin de sécurité iDefense 453 du 14 décembre 2006
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité ;
  • élévation de privilèges.

Systèmes affectés

Les versions de GNOME Display Manager (GDM) antérieures à 2.14.11, 2.16.4 ou 2.17.4.

Description

Une vulnérabilité a été identifiée dans GNOME Display Manager (GDM), qui ne manipulerait pas correctement une chaîne de caractères utilisée par gdmchooser, une fonction servant à sélectionner les hôtes activés par XDMCP sur le réseau local (XDMCP, pour X Display Manager Control Protocol).

Une personne malveillante connectée au système ayant une version de gdmchooser vulnérable pourrait exécuter du code arbitraire localement, avec les mêmes droits que ceux de l'utilisateur gdm.

Solution

Se référer aux bulletins de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 15 décembre 2006
    version initiale.