Risque
- Contournement de la politique de sécurité
Systèmes affectés
Toutes les versions de XFree86.
Résumé
Une vulnérabilité présente dans le gestionnaire d'environnement graphique XDM de XFree86 permet à un utilisateur distant mal intentionné de se connecter au serveur même si celui-ci a été désactivé.
Description
XDM est un gestionnaire d'environnement graphique présent dans XFree86.
Il permet de créer des sessions sur des plates-formes distantes via le
protocole XDMCP (X Display Manager Control Protocol). Une vulnérabilité
de XDM autorise les connexions distantes au serveur X même si celles-ci
ont été désactivées dans le fichier de configuration xdm-config. Cette
vulnérabilité peut être exploitée par un individu mal intentionné afin
d'accéder au serveur à distance.
Solution
Mettre à jour XFree86 (cf. section Documentation).
Documentation
- Bulletin de sécurité FreeBSD pour XFree86 du 28 juin 2004 http://www.vuxml.org/freebsd
- Bulletin de sécurité OpenBSD pour XFree86 du 26 mai 2004 http://www.openbsd.org/errata.html#xdm
- Bulletin de sécurité Gentoo GLSA 200407-05 du 05 juillet 2004 : http://www.gentoo.org/security/en/glsa/glsa-200407-05.xml
- Bulletin de sécurité Mandrake MDKSA-2004:073 du 27 juillet 2004 : http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:073
- Description de la vulnérabilité XFree86 dans Bugzilla : http://bugs.xfree86.org/show_bug.cgi?id=1376
- Site Internet de XFree86 : http://www.xfree86.org
