Risque
- Exécution de code arbitraire à distance
Systèmes affectés
Les versions de Dia comprises entre 0.87 et 0.94, ainsi que les versions de test 0.95 1 à 5.
Résumé
Plusieurs vulnérabilités dans Dia permettent à un utilisateur malveillant d'exécuter du code arbitraire à distance.
Description
Dia est un outil de création de schémas vectoriels fonctionnant sur la plupart des systèmes d'exploitation. Plusieurs dépassements de mémoire sont possibles lorsque des fichiers de type XFig sont ouverts. Un utilisateur malveillant peut profiter de ces vulnérabilités pour exécuter du code arbitraire sur le système où Dia a été exécuté.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site du projet http://www.gnome.org/projects/dia/
- Bulletin de sécurité Debian DSA-1025 du 6 avril 2006 : http://www.debian.org/security/2006/dsa-1025
- Bulletin de sécurité Gentoo GLSA 200604-14 du 23 avril 2006 : http://www.gentoo.org/security/en/glsa/glsa-200604-14.xml
- Bulletin de sécurité Mandriva MDKSA-2006:062 du 3 avril 2006 : http://wwwnew.mandriva.com/security/advisories?name=MDKSA-2006:062
- Bulletin de sécurité Ubuntu USN-266 du 3 avril 2006 : http://www.ubuntu.com/usn/usn-266-1
- Mise à jour de sécurité Fedora pour Dia : http://download.fedora.redhat.com/pub/fedora/linux/updates/4/
- Référence CVE CVE-2006-1550 https://www.cve.org/CVERecord?id=CVE-2006-1550