CERTA-2004-AVI-325
Vulnerability from certfr_avis - Published: 2004-09-21 - Updated: 2004-12-06
Plusieurs vulnérabilités ont été découvertes dans le code de XFree86, libXpm et LessTif.
Description
XFree86 est une mise en oeuvre du système X Window très utilisée sur les plates-formes Linux.
LessTif et libXpm sont deux bibliothèques graphiques.
Motif et OpenMotif réutilisant du code de libXpm sont également vulnérables.
Plusieurs vulnérabilités ont été découvertes dans XFree86 concernant la gestion des fichiers image XPM. Elles sont également présentes dans le code des bibliothèques libXpm et LessTif.
- Plusieurs vulnérabilités de type débordement de mémoire permettent à un utilisateur mal intentionné d'exécuter du code arbitraire sur la machine (CVE CAN-2004-0687).
- Une vulnérabilité de type débordement de mémoire permet à un utilisateur mal intentionné de provoquer un déni de service (CVE CAN-2004-0688).
Solution
La version 4.4.99.14 de Xfree86 corrige ces vulnérabilités.
La version 1.2.6 de Motif corrige ces vulnérabilités.
Se référer au bulletin de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
References
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "XFree86 versions 4.4.99.13 et ant\u00e9rieures.",
"product": {
"name": "N/A",
"vendor": {
"name": "N/A",
"scada": false
}
}
},
{
"description": "Motif 1.2.5.",
"product": {
"name": "N/A",
"vendor": {
"name": "N/A",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Description\n\nXFree86 est une mise en oeuvre du syst\u00e8me X Window tr\u00e8s utilis\u00e9e sur les\nplates-formes Linux. \n\nLessTif et libXpm sont deux biblioth\u00e8ques graphiques.\n\nMotif et OpenMotif r\u00e9utilisant du code de libXpm sont \u00e9galement\nvuln\u00e9rables.\n\n \n\nPlusieurs vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans XFree86 concernant la\ngestion des fichiers image XPM. Elles sont \u00e9galement pr\u00e9sentes dans le\ncode des biblioth\u00e8ques libXpm et LessTif.\n\n- Plusieurs vuln\u00e9rabilit\u00e9s de type d\u00e9bordement de m\u00e9moire permettent \u00e0\n un utilisateur mal intentionn\u00e9 d\u0027ex\u00e9cuter du code arbitraire sur la\n machine (CVE CAN-2004-0687).\n- Une vuln\u00e9rabilit\u00e9 de type d\u00e9bordement de m\u00e9moire permet \u00e0 un\n utilisateur mal intentionn\u00e9 de provoquer un d\u00e9ni de service (CVE\n CAN-2004-0688).\n\n## Solution\n\nLa version 4.4.99.14 de Xfree86 corrige ces vuln\u00e9rabilit\u00e9s.\n\nLa version 1.2.6 de Motif corrige ces vuln\u00e9rabilit\u00e9s.\n\nSe r\u00e9f\u00e9rer au bulletin de l\u0027\u00e9diteur pour l\u0027obtention des correctifs (cf.\nsection Documentation).\n",
"cves": [],
"initial_release_date": "2004-09-21T00:00:00",
"last_revision_date": "2004-12-06T00:00:00",
"links": [
{
"title": "Bulletin de s\u00e9curit\u00e9 Sun #57653 du 08 octobre 2004 :",
"url": "http://www.sunsolve.sun.com/search/document.do?assetkey=1-26-57653-1"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 SuSE SUSE-SA:2004034 du 17 septembre 2004 :",
"url": "http://www.suse.com/de/security/2004_34_xfree86_libs_xshared.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Debian DSA-560 du 07 octobre 2004 :",
"url": "http://www.debian.org/security/2004/dsa-560"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 #19 pour OpenBSD 3.5 du 16 septembre 2004 :",
"url": "http://www.openbsd.com/errata#xpm"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Gentoo GLSA 200409-34 du 27 septembre 2004 :",
"url": "http://www.gentoo.org/security/en/glsa/glsa-200409-34.xml"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Sun #57652 du 15 octobre 2004 :",
"url": "http://www.sunsolve.sun.com/search/document.do?assetkey=1-26-57652"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Debian DSA-561 du 11 octobre 2004 :",
"url": "http://www.debian.org/security/2004/dsa-561"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 SSRT4831 pour HP Tru64 Unix du 11 novembre 2004 :",
"url": "http://www4.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBTU01093"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Mandrake MDKSA-2004:099 du 15 septembre 2004 :",
"url": "http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:099"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Gentoo GLSA 200410-09 du 09 octobre 2004 :",
"url": "http://www.gentoo.org/security/en/glsa/glsa-200410-09.xml"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Red Hat RHSA-2004:537 du 02 d\u00e9cembre 2004 :",
"url": "http://rhn.redhat.com/errata/RHSA-2004-537.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 d\u0027ICS pour Motif :",
"url": "http://www.ics.com/developers/index.php?cont=xpm_security_alert"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Mandrake MDKSA-2004:098 du 15 septembre 2004 :",
"url": "http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:098"
},
{
"title": "Site internet de XFree86 :",
"url": "http://www.xfree.org"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Red Hat RHSA-2004:478 du 04 octobre 2004 :",
"url": "http://rhn.redhat.com/errata/RHSA-2004-478.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 FreeBSD pour xpm du 15 septembre 2004 :",
"url": "http://www.vuxml.org/freebsd/"
}
],
"reference": "CERTA-2004-AVI-325",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2004-09-21T00:00:00.000000"
},
{
"description": "ajout du bulletin Gentoo.",
"revision_date": "2004-09-27T00:00:00.000000"
},
{
"description": "LessTif est prise en compte. Ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 de Red Hat (RHSA-2004-078) et Debian (DSA-560).",
"revision_date": "2004-10-08T00:00:00.000000"
},
{
"description": "ajout r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Gentoo GLSA 200410-09 relatif \u00e0 LessTif.",
"revision_date": "2004-10-11T00:00:00.000000"
},
{
"description": "ajout r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Debian (DSA-561) et Sun.",
"revision_date": "2004-10-13T00:00:00.000000"
},
{
"description": "ajout r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 OpenBSD.",
"revision_date": "2004-10-15T00:00:00.000000"
},
{
"description": "ajout r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 #57652 de Sun.",
"revision_date": "2004-10-20T00:00:00.000000"
},
{
"description": "Prise en compte de Motif et OpenMotif.",
"revision_date": "2004-10-21T00:00:00.000000"
},
{
"description": "ajout r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 SSRT4831 pour HP Tru64.",
"revision_date": "2004-11-16T00:00:00.000000"
},
{
"description": "ajout r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Red Hat RHSA-2004:537 relatif \u00e0 OpenMotif.",
"revision_date": "2004-12-06T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
},
{
"description": "D\u00e9ni de service"
}
],
"summary": "Plusieurs vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans le code de XFree86,\nlibXpm et LessTif.\n",
"title": "Vuln\u00e9rabilit\u00e9s de XFree86, libXpm, LessTif, Motif et OpenMotif",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 SuSE SUSE-SA:2004034 du 17 septembre 2004",
"url": null
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…