Risque
- Élévation de privilèges
Systèmes affectés
libXfont, version 1.4.3 et versions antérieures.
Résumé
Une vulnérabilité dans libXfont permet à un utilisateur malveillant d'élever ses privilèges.
Description
La bibliothèque libXfont utilise un programme de décompression LZW vulnérable à un débordement de mémoire. Ce défaut peut être exploité par un utilisateur malveillant pour obtenir les droits de l'application ayant utilisé cette bibliothèque, par exemple un serveur X.
Solution
La version 1.4.4 de la bibliothèque libXfont corrige ce problème.
Se référer aux bulletins de sécurité de l'éditeur et des distributions pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Debian DSA 2293 du 12 août 2011 : http://www.debian.org/security/2011/dsa-2293
- Bulletin de sécurité Mandriva MDKSA-2011:153 du 17 octobre 2011 : http://www.mandriva.com/archives/security/advisories
- Bulletin de sécurité Novell CVE-2011-2895 du 05 décembre 2011 : http://support.novell.com/security/cve/CVE-2011-2895.html
- Bulletin de sécurité RedHat RHSA-2011:1154 du 11 août 2011 : http://rhn.redhat.com/errata/RHSA-2011-1154.html
- Bulletin de sécurité RedHat RHSA-2011:1155 du 11 août 2011 : http://rhn.redhat.com/errata/RHSA-2011-1155.html
- Bulletin de sécurité RedHat RHSA-2011:1161 du 15 août 2011 : http://rhn.redhat.com/errata/RHSA-2011-1161.html
- Bulletin de sécurité Ubuntu USN-1191-1 du 15 août 2011 : http://www.ubuntu.com/usn/usn-1191-1/
- Bulletin de sécurité X.org du 10 août 2011 : http://lists.freedesktop.org/archives/xorg-announce/2011-August/001721.html
- Correctif de sécurité NetBSD SA2011-007 du 20 septembre 2011 : http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2011-007.txt.asc
- Référence CVE CVE-2011-2895 https://www.cve.org/CVERecord?id=CVE-2011-2895
