S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 23 mai 2006
N° CERTA-2006-AVI-211-003
Affaire suivie par: CERT-FR
le 23 mai 2006

Avis du CERT-FR

Objet: Vulnérabilité de Dia

Gestion du document

Référence CERTA-2006-AVI-211-003
Titre Vulnérabilité de Dia
Date de la première version 23 mai 2006
Date de la dernière version 08 juin 2006
Source(s) Mise à jour du projet Dia
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

La version Dia 0.95 et celles antérieures.

Résumé

Une vulnérabilité a été identifiée dans Dia. Elle peut permettre à un utilisateur malveillant d'exécuter des commandes arbitraires à distance.

Description

Une vulnérabilité de type débordement de mémoire a été identifiée dans l'éditeur graphique Dia. La gestion des noms de fichiers n'est pas correctement effectuée par la fonction gtk_message_dialog_new(). Une personne malveillante peut faire parvenir un fichier au nom singulier. Si l'utilisateur l'ouvre par la fenêtre Dia standard ("Open Diagram"), des commandes arbitraires peuvent s'exécuter à son insu.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 23 mai 2006
    version initiale.
    le 01 juin 2006
    ajout des références aux bulletins de sécurité Mandriva et Ubuntu.
    le 07 juin 2006
    ajout de la référence CVE CVE-2006-2453 et du bulletin de sécurité RedHat.
    le 08 juin 2006
    ajout de la référence au bulletin de sécurité Gentoo.