Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

HSC : Multiples vulnérabilités dans le serveur X.org

janvier 2008 par HSC

Date : 21-01-2008

Criticité HSC : 4/5 - haute

Exploitation : Indisponible

Résumé : Plusieurs vulnérabilités touchent le serveur X.org et sa bibliothèque Xfont, permettant l’élévation de privilège voire la compromission distante du compte administrateur (root).

Source : x.org

Objet : X.org

Description :

Plusieurs vulnérabilités affectant le serveur X.org et la bibliothèque Xfont du serveur X.org ont été découvertes.

Un débordement d’entier dans libXfont (CVE-2008-0006), lors du traitement de la variable PCF_BDF_ENCODINGS d’un fichier de police PCF, permet le débordement d’un tampon et l’exécution de code sous l’identité de l’utilisateur exécutant le serveur X, en général le super-utilisateur (root). Un attaquant peut exploiter cette vulnérabilité en incitant un utilisateur à utiliser une police PCF spécialement conçue, par exemple par l’intermédiaire d’un document PDF. L’exploitation de cette vulnérabilité est réputée difficile.

Les extensions X.org XFree86-Misc (CVE-2007-5760), Xinput (CVE-2007- 6427), TOG-cup (CVE-2007-6428), EVI et MIT-SHM (CVE-2007-6429) ne vérifient pas correctement les données provenant d’un client X, entraînant des débordements de tampons ou la corruption de la mémoire. Un attaquant ayant un accès au serveur X (notamment l’utilisateur local) peut exploiter ces vulnérabilités pour faire stopper le serveur X ou pour élever ses privilèges au niveau du super-utilisateur (root).

Enfin, tout utilisateur local peut énumérer l’existence de fichiers dans des répertoires en principe inaccessibles, en démarrant un serveur X avec une politique de sécurité ("X :1 -sp ").




Voir les articles précédents

    

Voir les articles suivants