Risques

  • Exécution de code arbitraire
  • Élévation de privilèges

Systèmes affectés

Les versions X.Org server 1.0.0, X11R6.9 et X11R7.0.

Résumé

Une vulnérabilité dans la vérification des privilèges des serveurs graphiques X.Org 1.0.0, X11R6.9 et X11R7.0 permet à un utilisateur malveillant d'exécuter du code arbitraire et d'obtenir les privilèges de l'administrateur.

Description

Une erreur dans la vérification des privilèges de l'utilisateur effectuée par la fonction getuid des serveurs graphiques X.Org 1.0.0, X11R6.9 et X11R7.0 permet à un utilisateur malveillant ayant accès à la machine d'introduire des arguments arbitraires avec les options -logfile ou -modulepath. En d'autres termes, cette vulnérabilité peut être utilisée pour écraser des fichiers existants ou exécuter du code arbitraire avec les privilèges de l'administrateur.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation