Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
- Élévation de privilèges
Systèmes affectés
- X Windows System 11 (X11) 6.x ;
- X Windows System 11 (X11) 7.x.
Résumé
Plusieurs vulnérabilités touchant le système X Windows, dues à la mauvaise validation de paramètres, ont été corrigées.
Description
Elles permettent entre autres d'exécuter du code arbitraire avec les droits du processus du serveur X. Pour mener à bien son attaque, l'utilisateur malveillant doit avoir accès à un shell local ou à une connexion deja établie avec le serveur X.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Avaya ASA-2008-039 du 28 janvier 2008 : http://support.avaya.com/elmodocs2/security/ASA-2008-039.htm
- Bulletin de sécurité Debian DSA-1466 du 17 janvier 2008 : http://www.debian.org/security/2008/dsa-1466
- Bulletin de sécurité Gentoo GLSA 200801-09 du 20 janvier 2008 : http://www.gentoo.org/security/en/glsa/glsa-200801-09.xml
- Bulletin de sécurité HP-UX c01543321 du 3 novembre 2008: http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01543321
- Bulletin de sécurité Mandriva MDKSA-2008:023 du 23 janvier 2008 : http://www.mandriva.com/en/security/advisories?name=MDVSA-2008:023
- Bulletin de sécurité Mandriva MDKSA-2008:025 du 23 janvier 2008 : http://www.mandriva.com/en/security/advisories?name=MDVSA-2008:025
- Bulletin de sécurité RedHat RHSA-2008:0030 du 17 janvier 2008 : http://rhn.redhat.com/errata/RHSA-2008-0030.html
- Bulletin de sécurité RedHat RHSA-2008:0031 du 17 janvier 2008 : http://rhn.redhat.com/errata/RHSA-2008-0031.html
- Bulletin de sécurité RedHat RHSA-2008:0064 du 17 janvier 2008 : http://rhn.redhat.com/errata/RHSA-2008-0064.html
- Bulletin de sécurité SuSE SUSE-SA:2008:003 du 17 janvier 2008 : http://lists.opensuse.org/opensuse-security-announce/2008-01/msg00004.html
- Bulletin de sécurité Sun Solaris #103192 du 17 janvier 2008 : http://sunsolve.sun.com/search/document.do?assetkey=1-26-103192-1
- Bulletin de sécurité Sun Solaris #103200 du 17 janvier 2008 : http://sunsolve.sun.com/search/document.do?assetkey=1-26-103200-1
- Bulletin de sécurité Sun Solaris #103205 du 17 janvier 2008 : http://sunsolve.sun.com/search/document.do?assetkey=1-26-103205-1
- Bulletin de sécurité Suse SUSE-SA:2008:003 du 17 janvier 2008 : http://lists.opensuse.org/opensuse-security-announce/2008-01/msg00004.html
- Bulletin de sécurité Ubuntu USN-571-1 du 17 janvier 2008 : http://www.ubuntulinux.org/usn/usn-571-1
- Bulletin de sécurité Ubuntu USN-571-1 du 18 janvier 2008 : http://www.ubuntu.com/usn/usn-571-1
- Bulletin de sécurité Ubuntu USN-571-2 du 19 janvier 2008 : http://www.ubuntu.com/usn/usn-571-2
- Bulletin de sécurité iDefense 643 du 17 janvier 2008 : http://www.idefense.com/ntelligence/vulnerabilities/display.php?id=643
- Bulletin de sécurité iDefense 645 du 17 janvier 2008 : http://www.idefense.com/ntelligence/vulnerabilities/display.php?id=645
- Bulletin de sécurité iDefense 646 du 17 janvier 2008 : http://www.idefense.com/ntelligence/vulnerabilities/display.php?id=646
- Référence CVE CVE-2007-5760 https://www.cve.org/CVERecord?id=CVE-2007-5760
- Référence CVE CVE-2007-5958 https://www.cve.org/CVERecord?id=CVE-2007-5958
- Référence CVE CVE-2007-6427 https://www.cve.org/CVERecord?id=CVE-2007-6427
- Référence CVE CVE-2007-6428 https://www.cve.org/CVERecord?id=CVE-2007-6428
- Référence CVE CVE-2007-6429 https://www.cve.org/CVERecord?id=CVE-2007-6429
- Référence CVE CVE-2008-0006 https://www.cve.org/CVERecord?id=CVE-2008-0006
