Plusieurs vulnérabilités importantes découvertes dans la bibliothèque libx11

Plusieurs vulnérabilités ont été signalées dans X.org libX11. Elles permettraient à un attaquant distant non authentifié de provoquer un déni de service (DoS) ou d'exécuter du code arbitraire sur un système ciblé.

Il s'agit des failles référencées comme suit:

  • CVE-2018-14599 [CVSS : 7.3] : Le client logiciel ne gère pas correctement les réponses serveur. Une exploitation réussie de cette vulnérabilité pourrait déclencher une erreur de décalage unitaire (ou erreur off-by-one)  dans les fonctions XGetFontPath(), XListExtensions() et XListFonts() du client logiciel, que l'attaquant pourrait utiliser pour exécuter du code arbitraire;
  • CVE-2018-14600 [CVSS : 7.3] : Cette vulnérabilité, de type écriture mémoire hors limite, pourrait permettre à un attaquant d'exécuter du code arbitraire sur le système;
  • CVE-2018-14598 [CVSS : 7.5] : Le client logiciel ne gère pas correctement les réponses serveur. Une exploitation réussie de cette vulnérabilité pourrait déclencher une erreur de segmentation dans le client logiciel, ce qui pourrait entraîner l'arrêt du logiciel
Informations
+

Risques

  • Exécution de code arbitraire à distance
  • Déni de service

Criticité

  • CVSS v3 : 7.5 (Score CVSS de la vulnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation des vulnérabilités n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • X.org libx11 1.6.5 
  • X.org libx11 1.0.3 
  • X.org libx11 1.0.2 
  • X.org libx11 1.0 
  • X.org libx11 1.6.3
  • X.org libx11 1.6.0
  • X.org libx11 1.5.99.901
  • X.org libx11 1.5.0

CVE

  • CVE-2018-14598
  • CVE-2018-14599
  • CVE-2018-14600

Recommandations
+

Correctifs

  • X.Org a publié une mise à jour logicielle sur le lien suivant: libX11 1.6.6.

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.