Risque
- Exécution de code arbitraire à distance
Systèmes affectés
Toutes les versions de libXpm.
LessTif et OpenMotif sont aussi affectés dans la mesure où ils utilisent la bibliothèque libXpm.
Résumé
Un débordement de mémoire présent dans la bibliothèque libXpm permet à
un utilisateur mal intentionné d'exécuter du code arbitraire à
distance.
Toutes les applications utilisant la bibliothèque libXpm sont
potentiellement affectées.
Description
libXpm est une bibliothèque pour le traitement des images au format XPM
(X Pixmap).
LessTif est un clone de Motif, une boite à outils standard pour la
création d'interface, disponible sous GNU/Linux et UNIX.
OpenMotif est une version libre de la boite à outils Motif.
Un débordement de mémoire présent dans le code source scan.c de la
bibliothèque libXpm permet à un utilisateur mal intentionné d'exécuter
du code arbitraire à distance, via un fichier judicieusement
constitué.
Toutes les applications utilisant la bibliothèque libXpm sont
potentiellement affectées, telles LessTif et OpenMotif.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Gentoo GLSA 200503-08 du 04 mars 2005 http://www.gentoo.org/security/en/glsa/glsa-200503-08.xml
- Bulletin de sécurité Debian DSA-723 du 09 mai 2005 : http://www.debian.org/security/2005/dsa-723
- Bulletin de sécurité Gentoo GLSA 200503-15 du 12 mars 2005 : http://www.gentoo.org/security/en/glsa/glsa-200503-15.xml
- Bulletin de sécurité Mandriva MDKSA-2005:080 du 28 avril 2005 : http://www.mandriva.com/security/advisories?name=MDKSA-2005:080
- Bulletin de sécurité Mandriva MDKSA-2005:081 du 05 mai 2005 : http://www.mandriva.com/security/advisories?name=MDKSA-2005:081
- Bulletin de sécurité Red Hat RHSA-2005:198 du 08 juin 2005 : http://rhn.redhat.com/errata/RHSA-2005-198.html
- Bulletin de sécurité Red Hat RHSA-2005:412 du 11 mai 2005 : http://rhn.redhat.com/errata/RHSA-2005-412.html
- Bulletin de sécurité Red Hat RHSA-2005:473 du 24 mai 2005 : http://rhn.redhat.com/errata/RHSA-2005-473.html
- Bulletin de sécurité RedHat RHSA-2005:331-06 du 30 mars 2005 : http://rhn.redhat.com/errata/RHSA-2005-331.html
- Bulletin de sécurité SuSE SUSE-SR:2005:010 du 08 avril 2005 : http://www.novell.com/linux/security/advisories/2005_10_sr.html
- Mise à jour de sécurité des paquetages NetBSD xpm, lesstif et openmotif : ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/graphics/xpm/README.html
- Mise à jour de sécurité des paquetages NetBSD xpm, lesstif et openmotif : ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/x11/lesstif/README.html
- Mise à jour de sécurité des paquetages NetBSD xpm, lesstif et openmotif : ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/x11/openmotif/README.html
- Mise à jour de sécurité pour Fedora Core 2 du 30 mars 2005 : http://download.fedora.redhat.com/pub/fedora/linux/core/updates/2/
- Mise à jour de sécurité pour Fedora Core 3 du 30 mars 2005 : http://download.fedora.redhat.com/pub/fedora/linux/core/updates/3/
- Site Internet de LessTif : http://www.lesstif.org
- Site Internet de OpenMotif : http://www.opengroup.org/openmotif/
