Objet: Vulnérabilité de libXpm

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

Toutes les versions de libXpm.
LessTif et OpenMotif sont aussi affectés dans la mesure où ils utilisent la bibliothèque libXpm.

Résumé

Un débordement de mémoire présent dans la bibliothèque libXpm permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.
Toutes les applications utilisant la bibliothèque libXpm sont potentiellement affectées.

Description

libXpm est une bibliothèque pour le traitement des images au format XPM (X Pixmap).
LessTif est un clone de Motif, une boite à outils standard pour la création d'interface, disponible sous GNU/Linux et UNIX.
OpenMotif est une version libre de la boite à outils Motif.

Un débordement de mémoire présent dans le code source scan.c de la bibliothèque libXpm permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance, via un fichier judicieusement constitué.
Toutes les applications utilisant la bibliothèque libXpm sont potentiellement affectées, telles LessTif et OpenMotif.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Site Internet de LessTif :

  http://www.lesstif.org
  

• Site Internet de OpenMotif :

  http://www.opengroup.org/openmotif/
  

• Bulletin de sécurité Gentoo GLSA 200503-08 du 04 mars 2005 :

  http://www.gentoo.org/security/en/glsa/glsa-200503-08.xml
  

• Bulletin de sécurité Gentoo GLSA 200503-15 du 12 mars 2005 :

  http://www.gentoo.org/security/en/glsa/glsa-200503-15.xml
  

• Bulletin de sécurité RedHat RHSA-2005:331-06 du 30 mars 2005 :

  http://rhn.redhat.com/errata/RHSA-2005-331.html
  

• Bulletin de sécurité SuSE SUSE-SR:2005:010 du 08 avril 2005 :

  http://www.novell.com/linux/security/advisories/2005_10_sr.html
  

• Mise à jour de sécurité pour Fedora Core 2 du 30 mars 2005 :

  http://download.fedora.redhat.com/pub/fedora/linux/core/updates/2/
  

• Mise à jour de sécurité pour Fedora Core 3 du 30 mars 2005 :

  http://download.fedora.redhat.com/pub/fedora/linux/core/updates/3/
  

• Bulletin de sécurité Mandriva MDKSA-2005:080 du 28 avril 2005 :

  http://www.mandriva.com/security/advisories?name=MDKSA-2005:080
  

• Bulletin de sécurité Mandriva MDKSA-2005:081 du 05 mai 2005 :

  http://www.mandriva.com/security/advisories?name=MDKSA-2005:081
  

• Bulletin de sécurité Debian DSA-723 du 09 mai 2005 :

  http://www.debian.org/security/2005/dsa-723
  

• Bulletin de sécurité Red Hat RHSA-2005:412 du 11 mai 2005 :

  http://rhn.redhat.com/errata/RHSA-2005-412.html
  

• Bulletin de sécurité Red Hat RHSA-2005:473 du 24 mai 2005 :

  http://rhn.redhat.com/errata/RHSA-2005-473.html
  

• Bulletin de sécurité Red Hat RHSA-2005:198 du 08 juin 2005 :

  http://rhn.redhat.com/errata/RHSA-2005-198.html
  

• Mise à jour de sécurité des paquetages NetBSD xpm, lesstif et openmotif :

  ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/graphics/xpm/README.html
  

  ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/x11/lesstif/README.html
  

  ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/x11/openmotif/README.html
  

• Référence CVE CAN-2005-0605 :

  https://www.cve.org/CVERecord?id=CAN-2005-0605