Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- X.org XFS versions 1.0.4 et antérieures.
Résumé
De multiples vulnérabilités ont été découvertes dans X.Org XFS permettant l'exécution de code arbitraire à distance.
Description
Deux vulnérabilités, existant dans X.Org XFS, permettent l'exécution de code arbitraire à distance par un individu malveillant :
- la première des vulnérabilités permet un débordement d'entier via la fonction build_range() ;
- pour la seconde, un nombre arbitraire de bits permet un dépassement de mémoire dans la fonction swap_char2b().
Solution
Se référer au bulletin de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité de X.Org du 02 octobre 2007 http://lists.freedesktop.org/archives/xorg-announce/2007-October/000416.html
- Bulletin de sécurité Debian du 09 octobre 2007: http://www.debian.org/security/2007/dsa-1385
- Bulletin de sécurité Gentoo du 12 octobre 2007: http://www.gentoo.org/security/en/glsa/glsa-200710-11.xml
- Bulletin de sécurité HP-UX du 14 janvier 2008: http://h20000.ww2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01323725
- Bulletin de sécurité Mandriva du 06 novembre 2007: http://www.mandriva.com/en/security/advisories?name=MDKSA-2007:210
- Bulletin de sécurité SUSE du 12 octobre 2007: http://www.novell.com/linux/security/advisories/2007_54_xorg.html
- Bulletin de sécurité Sun du 06 novembre 2007: http://sunsolve.sun.com/search/document.do?assetkey=1-26-103114-1
- Bulletin de sécurité de iDefense du 02 octobre 2007 : http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=602
- Référence CVE CVE-2007-4568 https://www.cve.org/CVERecord?id=CVE-2007-4568
- Référence CVE CVE-2007-4990 https://www.cve.org/CVERecord?id=CVE-2007-4990
