{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"xrdb versions 1.0.8 et inf\u00e9rieures ;","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}},{"description":"X11R7.6 (xrdb 1.0.7 y est inclus).","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nUne vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans xrdb. Elle provient d'une\nmauvaise gestion des noms d'h\u00f4tes pr\u00e9sents dans la base de ressources\nacc\u00e9d\u00e9e via xrdb par certains gestionnaires d'affichage. Elle permet \u00e0\nune personne malintentionn\u00e9e d'ex\u00e9cuter des commandes sous l'identit\u00e9 de\nl'utilisateur root. Ce type d'attaque n'est cependant possible que si\nl'attaquant dispose d'un moyen de remplacer le nom d'h\u00f4te de la machine\npar un nom d'h\u00f4te sp\u00e9cialement forg\u00e9. Ainsi seules les machines\nd\u00e9finissant leur nom d'h\u00f4te via le protocole DHCP ou autorisant les\nconnexions distantes via xdmcp sont vuln\u00e9rables.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2011-0465","url":"https://www.cve.org/CVERecord?id=CVE-2011-0465"}],"links":[],"reference":"CERTA-2011-AVI-191","revisions":[{"description":"version initiale.","revision_date":"2011-04-06T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"\u00c9l\u00e9vation de privil\u00e8ges"}],"summary":"Une vuln\u00e9rabilit\u00e9 permettant une ex\u00e9cution de code arbitraire \u00e0 distance\na \u00e9t\u00e9 d\u00e9couverte dans <span class=\"textit\">xrdb</span>.\n","title":"Vuln\u00e9rabilit\u00e9 dans xrdb (X.Org)","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 X.Org","url":"http://lists.freedesktop.org/archives/xorg-announce/2011-April/001636.html"}]}