S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 10 janvier 2007
N° CERTA-2007-AVI-025
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités de X.org

Gestion du document

Référence CERTA-2007-AVI-025
Titre Multiples vulnérabilités de X.org
Date de la première version10 janvier 2007
Date de la dernière version19 juin 2007
Source(s) Bulletins de sécurité iDefense 463 à 465
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Élévation de privilèges

Systèmes affectés

  • X Window System 11 (X11) 6.X ;
  • X Window System 11 (X11) 7.X.
  • Xfree86 4.1.x ;
  • Xfree86 4.2.x ;
  • Xfree86 4.3.x ;
  • Xfree86 4.4.x ;
  • Xfree86 4.5.x ;
  • Xfree86 4.6.x ;

Résumé

Plusieurs vulnérabilités ont été découvertes dans X.org. Ces vulnérabilités peuvent être exploitées afin d'obtenir une élévation de privilèges.

Description

Trois vulnérabilités ont été découvertes dans X.org. Ces vulnérabilités sont dues à une erreur dans le traitement des entrées des fonctions ProcRenderAddGlyphs(), ProcDbeSwapBuffers() et ProcDbeGetVisualInfo(). Ces vulnérabilités peuvent être exploitées par un utilisateur malintentionné afin d'obtenir les privilèges de l'utilisateur sous lequel est lancé le serveur X (en général, root).

Un système ne présente ces vulnérabilités que s'il est configuré avec les extensions DBE et Render (l'extension Render est installée par défaut).

Solution

Se référer au bulletin de sécurité des éditeurs pour l'obtention des correctifs, ou installer la version 7.2RC3 du serveur X.org (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 10 janvier 2007
    version initiale.
    le 15 janvier 2007
    systèmes affectés et référence Suse.
    le 30 janvier 2007
    ajout des références aux bulletins de sécurité Gentoo et Debian.
    le 19 juin 2007
    ajout de la référence au bulletin HP.