Syst\u00e8mes sur lesquels est lanc\u00e9 le service CDE Subprocess Control Service.
","content":"## Description\n\nCDE (Common Desktop Environment) est une interface graphique des\nsyst\u00e8mes UNIX et Linux. Le d\u00e9mon `CDE Subprocess Control Service`\n(`dtspcd`) est un d\u00e9mon r\u00e9seau qui accepte des requ\u00eates de clients pour\nex\u00e9cuter ou lancer des applications \u00e0 distance. Le d\u00e9mon dtspcd tourne\npar d\u00e9faut sur le port 6112/tcp avec les droits de l'utilisateur root.\n\nUne vuln\u00e9rabilit\u00e9 de type d\u00e9bordement de m\u00e9moire permet \u00e0 un utilisateur\nmal intentionn\u00e9 d'ex\u00e9cuter du code arbitraire sur la machine avec les\ndroits de l'utilisateur root.\n\n## Contournement provisoire\n\nPour \u00e9viter une attaque venant de l'ext\u00e9rieur, limitez l'acc\u00e8s au demon\n`dtspcd` au niveau des gardes-barri\u00e8res (port 6112/tcp par d\u00e9faut).\n\n## Solution\n\nConsultez votre \u00e9diteur pour obtenir une mise \u00e0 jour suivant votre\ndistribution.\n","cves":[],"links":[{"title":"L'environnement CDE :","url":"http://www.opengroup.org/cde"}],"reference":"CERTA-2001-AVI-139","revisions":[{"description":"version initiale.","revision_date":"2001-11-13T00:00:00.000000"},{"description":"premi\u00e8re r\u00e9vision : ajout de l'avis SGI.","revision_date":"2002-03-27T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire"},{"description":"D\u00e9ni de service"}],"summary":"Une vuln\u00e9rabilt\u00e9 dans le d\u00e9mon `CDE Subprocess Control Service` permet\n\u00e0 un utilisateur mal intentionn\u00e9 d'ex\u00e9cuter du code arbitraire sur la\nmachine avec les droits de l'utilisateur root.\n\nL'exploitation de cette vuln\u00e9rabilit\u00e9 peut se faire en local ou \u00e0\ndistance.\n","title":"Vuln\u00e9rabilit\u00e9 de CDE","vendor_advisories":[{"published_at":null,"title":"Avis CA-2001-31 du CERT-CC","url":null}]}