Détails:
Une vulnérabilité a été identifiée dans X11. Celle-ci pourrait être exploitée par des utilisateurs locaux malicieux pour contourner certaines restrictions de sécurité.

Normallement un utilisateur non-root n'est pas autorisé à passer des arguments aux options de la ligne de commande "-logfile" et "-modulepath". Cependant il existe une erreur lors de la vérification des privilèges de l'utilisateur dans la mesure où le résultat de la fonction "geteuid()" n'est pas testé. Ceci peut être exploité pour passer des arguments arbitraires aux options "-logfile" et "-modulepath" permettant d'écraser des fichiers arbitraires ou d'exécuter du code arbitraire avec les privilèges root.

La vulnérabilité a été identifiée dans les versions 1.0.0 et suivantes de X.Org server, X11R6.9.0 et X11R7.0. X11R6.8.2 et les versions antérieures semblent ne pas être affectées.

Solution:
* X.Org Server (X11R7)
Appliquer le correctif pour les versions 1.0.0 et 1.0.1 ou mettre à jour à la version 1.0.2.

http://xorg.freedesktop.org/releases/X11R7.0/patches/xorg-server-1.0.1-geteuid.diff
80db6a3ab76334061ec6102e74ef5607
http://xorg.freedesktop.org/releases/X11R7.0/patches/xorg-server-1.0.1-geteuid.diff
44b44fa3efc63697eefadc7c2a1bfa50a35eec91

* X.Org Server (X11R6.9)
Appliquer le correctif.

http://xorg.freedesktop.org/releases/X11R6.9.0/patches/x11r6.9.0-geteuid.diff
de85e59b8906f76a52ec9162ec6c0b63
http://xorg.freedesktop.org/releases/X11R6.9.0/patches/x11r6.9.0-geteuid.diff
f9b73b7c1bd7d6d6db6d23741d5d1125eea5f860

Références:
http://secunia.com/advisories/19307/
http://lists.freedesktop.org/archives/xorg/2006-March/013992.html Avis original


  En parler sur le forum...
  S'inscrire à la liste de diffusion...