Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Sécurité : des failles vieilles de 27 ans découvertes dans le serveur d'affichage X Window
Des correctifs disponibles

Le , par Amine Horseman

0PARTAGES

6  0 
Ilja van Sprundel, un chercheur en sécurité de IOActive, a découvert un grand nombre de bugs dans le code source du système d’affichage open source X Window. Ces bugs sont causés par le code de base du serveur X et certains d’entre eux seraient présents depuis 1987. Ces bugs pourraient être exploités afin d’accéder à la mémoire non initialisée du serveur X, ce qui pourrait provoquer des erreurs de segmentation, ou utilisés pour exécuter du code arbitraire. Ils représentent donc des failles assez importantes.

Parmi ces failles, on peut citer le risque d’un déni de service en raison d’un malloc non vérifié lors de l’authentification du client. Ce dernier peut provoquer une erreur du système dans le serveur s’il envoie les valeurs qui feront échouer le malloc. Un autre bug concernant les entiers peut provoquer des débordements de mémoire (overflow), et une troisième faille permet de lire ou d'écrire au-delà des limites de la mémoire allouée lors du traitement de la demande.

Le risque est encore plus grand si « le serveur X est exécuté avec les privilèges root ; s’il est exposé aux clients du réseau ou limité aux connexions locales ; et s’il utilise des extensions de protocoles touchées, en particulier l'extension GLX ».

Ilja van Sprundel a travaillé avec l'équipe de sécurité de X.org pour confirmer et régler ces problèmes. Les corrections sont disponibles uniquement dans les commits git pour l'instant, mais sont prévues pour être incluses dans le xorg-server-1.17.0 et xorg-server-1.16.3.

Source : X.org

Et vous ?

Qu’en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Chauve souris
Membre émérite https://www.developpez.com
Le 12/12/2014 à 13:10
Et il y a plus ancien comme faille de sécurité : celle de San Andrea
6  0 
Avatar de laerne
Membre éprouvé https://www.developpez.com
Le 12/12/2014 à 12:48
Heureusement que les serveurs Linux ne font pas tourner X dans presque tout les cas.
2  0 
Avatar de Squisqui
En attente de confirmation mail https://www.developpez.com
Le 15/12/2014 à 14:39
Ce chercheur a beaucoup de temps à perdre pour annoncer des vieux bugs connus. Les développeurs de X ne participent pas activement Wayland par hasard.
Il existe des failles de sécurité jusque dans le protocole même demandant de casser la compatibilité pour être corrigé.

Plutôt que de retourner du vieux code des années 80 dont plus personne n'assure la maintenance (inconnu et potentiellement incompréhensible), créer un nouveau système d'affichage moderne est tout ce qu'il y a de plus judicieux.
0  0 
Avatar de Pelote2012
Membre chevronné https://www.developpez.com
Le 23/12/2014 à 10:17
Après la correction d'une faille de sécu vieille de 20 ans...
0  0 
Avatar de Shuty
Membre éprouvé https://www.developpez.com
Le 16/12/2014 à 16:47
Plutôt que de retourner du vieux code des années 80 dont plus personne n'assure la maintenance (inconnu et potentiellement incompréhensible), créer un nouveau système d'affichage moderne est tout ce qu'il y a de plus judicieux.
La maintenance demande du temps, et le temps demande de l'argent... C'est là qu'est le problème...
0  1