S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 11 octobre 2005
N° CERTA-2005-AVI-392
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de xli

Gestion du document

Référence CERTA-2005-AVI-392
Titre Vulnérabilité de xli
Date de la première version11 octobre 2005
Date de la dernière version12 octobre 2005
Source(s) Bulletin de sécurité Debian DSA-859 du 10 octobre 2005
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • xli 1.x ;
  • xloadimage 4.x.

Résumé

Une vulnérabilité dans l'application xloadimage, également inclu dans xli, permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.

Description

xloadimage et xli sont des applications qui permettent de visualiser des images sous le serveur graphique X11.

Une vulnérabilité de type débordement de la pile mémoire, dans les applications xloadimage et xli, est causée par une erreur dans la gestion des titres d'un fichier image .NIFF. Cette vulnérabilité peut être exploitée par un utilisateur distant mal intentionné, via une image au format .NIFF habilement constituée, afin d'exécuter du code arbitraire.

Solution

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 11 octobre 2005
    version initiale.
    le 12 octobre 2005
    ajout de la référence au bulletin de sécurité Debian DSA-858.