CERTA-2003-AVI-174

Vulnerability from certfr_avis - Published: - Updated:

Deux vulnérabilités dans certaines versions du logiciel de connexion gdm peuvent provoquer des dénis de service pouvant empêcher un utilisateur légitime de se connecter.

Description

Gnome Display Manager (gdm) est un logiciel de gestion des sessions XWindows qui présente une fenêtre de connexion.

Deux vulnérabilités dans gdm permettent de provoquer un déni de service sur la machine sur laquelle tourne ce logiciel :

  1. un utilisateur peut exploiter une caractéristique de gdm dans le but d'épuiser la mémoire disponible, ce qui aura pour effet de tuer le processus gdm.
  2. une limitation dans la gestion des commandes traitées par gdm peut être exploitée afin de saturer gdm de commandes inutiles, rendant impossible le traitement de commandes ultérieures valides (comme par exemple une demande de connexion).

Solution

Les utilisateurs de gdm sont invités à migrer vers une version qui corrige ces vulnérabilités, c'est-à-dire :

  • à partir des sources appliquer une version supérieure ou égale à 2.4.1.7 ou 2.4.4.4 ;
  • à partir d'un correctif fourni par votre vendeur, prendre le correctif qui corrige les vulnérabilités CAN-2003-0793 et CAN-2003-0794.

gdm tourne sous la forme d'un daemon. Installer le correctif peut ne pas suffire si la version vulnérable tourne encore en mémoire. Assurez-vous de bien redémarrer le daemon gdm.

None
Impacted products
Vendor Product Description
N/A N/A pour GNOME 2.4 : versions antérieures à 2.4.4.4.
N/A N/A Pour GNOME 2.2 : versions antérieures à 2.4.1.7 ;
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "pour GNOME 2.4 : versions ant\u00e9rieures \u00e0 2.4.4.4.",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    },
    {
      "description": "Pour GNOME 2.2 : versions ant\u00e9rieures \u00e0 2.4.1.7 ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Description\n\nGnome Display Manager (gdm) est un logiciel de gestion des sessions\nXWindows qui pr\u00e9sente une fen\u00eatre de connexion.\n\nDeux vuln\u00e9rabilit\u00e9s dans gdm permettent de provoquer un d\u00e9ni de service\nsur la machine sur laquelle tourne ce logiciel :\n\n1.  un utilisateur peut exploiter une caract\u00e9ristique de gdm dans le but\n    d\u0027\u00e9puiser la m\u00e9moire disponible, ce qui aura pour effet de tuer le\n    processus gdm.\n2.  une limitation dans la gestion des commandes trait\u00e9es par gdm peut\n    \u00eatre exploit\u00e9e afin de saturer gdm de commandes inutiles, rendant\n    impossible le traitement de commandes ult\u00e9rieures valides (comme par\n    exemple une demande de connexion).\n\n## Solution\n\nLes utilisateurs de gdm sont invit\u00e9s \u00e0 migrer vers une version qui\ncorrige ces vuln\u00e9rabilit\u00e9s, c\u0027est-\u00e0-dire :\n\n-   \u00e0 partir des sources appliquer une version sup\u00e9rieure ou \u00e9gale \u00e0\n    2.4.1.7 ou 2.4.4.4 ;\n-   \u00e0 partir d\u0027un correctif fourni par votre vendeur, prendre le\n    correctif qui corrige les vuln\u00e9rabilit\u00e9s CAN-2003-0793 et\n    CAN-2003-0794.\n\ngdm tourne sous la forme d\u0027un daemon. Installer le correctif peut ne pas\nsuffire si la version vuln\u00e9rable tourne encore en m\u00e9moire. Assurez-vous\nde bien red\u00e9marrer le daemon gdm.\n",
  "cves": [],
  "links": [
    {
      "title": "Avis de s\u00e9curit\u00e9 Mandrake MDKSA:100",
      "url": "http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:100"
    },
    {
      "title": "Le site de r\u00e9f\u00e9rence du projet gdm :",
      "url": "http://www.jirka.org/gdm"
    }
  ],
  "reference": "CERTA-2003-AVI-174",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2003-10-27T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Impossibilit\u00e9 de se connecter au travers de l\u0027interface gdm"
    },
    {
      "description": "D\u00e9ni de service"
    }
  ],
  "summary": "Deux vuln\u00e9rabilit\u00e9s dans certaines versions du logiciel de connexion gdm\npeuvent provoquer des d\u00e9nis de service pouvant emp\u00eacher un utilisateur\nl\u00e9gitime de se connecter.\n",
  "title": "D\u00e9ni de service dans GDM",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Mandrake : MDKSA-2003:100",
      "url": null
    },
    {
      "published_at": null,
      "title": "CVE : CAN-2003-0793",
      "url": null
    },
    {
      "published_at": null,
      "title": "CVE : CAN-2003-0794",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.