Risque
- Exécution de code arbitraire à distance ;
- contournement de la politique de sécurité.
Systèmes affectés
Les versions de xterm antérieures à 238-1 sous Debian.
Résumé
Une vulnérabilité a été identifiée dans l'émulateur de terminal standard xterm sous Debian. Elle permet à une personne malveillante distante d'exécuter du code arbitraire sur le poste ayant une version vulnérable.
Description
Une vulnérabilité a été identifiée dans l'émulateur de terminal standard xterm sous Debian. L'interprétation de certains noms de commande n'est pas correctement effectuée dans une DECRQSS (Device Control Request Status String). Cela permettrait à une personne malveillante distante d'exécuter des commandes arbitraires.
Cette vulnérabilité est à mettre en relation avec des corrections apportées en 2003 et 2006 à l'application.
Solution
Se référer aux bulletins de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Rapport de bogue Debian 510030 du 28 décembre 2008 :
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=510030
- Rapport de bogue Debian 384593 du 25 août 2006 :
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=384593
- Référence CVE CVE-2003-0063 :
https://www.cve.org/CVERecord?id=CVE-2003-0063
- Référence CVE CVE-2003-0071 :
https://www.cve.org/CVERecord?id=CVE-2003-0071
- Référence CVE CVE-2006-7236 :
https://www.cve.org/CVERecord?id=CVE-2006-7236
- Référence CVE CVE-2008-2383 :
https://www.cve.org/CVERecord?id=CVE-2008-2383
- Avis CERTA-2003-AVI-067 du 28 mars 2003 :
http://www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-067/
