1. Bulletin de Sécurité Gentoo
| Référence | GLSA 200604-14 / dia |
| Date de Parution | 23 Avril 2006 |
| Impact | Normal |
| Exploitabilité | Distante |
2. Versions affectées
| Package | Vulnérables | Non-affectées | Architecture(s) |
| app-office/dia | < 0.94-r5 | >= 0.94-r5 | Toutes |
3. Synopsis
Plusieurs dépassements de buffer dans le code en charge de l'import de fichiers XFig dans Dia rend possible une exploitation pouvant entraîner l'exécution d'une portion de code arbitraire.
4. Informations
Dia est un programme GTK+ permettant de lire et de créer des diagrammes.
5. Description
infamous41md a découvert de multiples dépassements de buffer dans le plugin d'import de fichiers XFig de Dia.
6. Impact de la faille
En incitant un utilisateur à ouvrir avec Dia un fichier XFig spécifiquement forgé, il est possible pour un attaquant de faire exécuter par sa victime une portion de code arbitraire.
7. Solution de contournement
Il n'existe aucune solution de contournement à l'heure actuelle.
8. Correction de la faille
Il est recommandé aux utilisateurs de Dia de mettre à jour ce dernier:
# emerge --sync # emerge --ask --oneshot --verbose ">=app-office/dia-0.94-r5"
9. Références