Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

La version Dia 0.95 et celles antérieures.

Résumé

Une vulnérabilité a été identifiée dans Dia. Elle peut permettre à un utilisateur malveillant d'exécuter des commandes arbitraires à distance.

Description

Une vulnérabilité de type débordement de mémoire a été identifiée dans l'éditeur graphique Dia. La gestion des noms de fichiers n'est pas correctement effectuée par la fonction gtk_message_dialog_new(). Une personne malveillante peut faire parvenir un fichier au nom singulier. Si l'utilisateur l'ouvre par la fenêtre Dia standard ("Open Diagram"), des commandes arbitraires peuvent s'exécuter à son insu.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation