L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

alerte de vulnérabilité CVE-2012-2738

GNOME vte : déni de service via répétition

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à consulter un document texte avec gnome-terminal (GNOME vte), afin de mener un déni de service.
Produits impactés : Fedora, openSUSE, Solaris, Unix (plateforme) ~ non exhaustif.
Gravité de ce bulletin : 1/4.
Conséquences d'un piratage : déni de service du client.
Origine du hacker : document.
Date création : 01/08/2012.
Références de cette menace : 676090, BID-54281, bulletinjan2015, CVE-2012-2738, FEDORA-2012-9546, FEDORA-2012-9575, MDVSA-2013:135, openSUSE-SU-2012:0931-1, openSUSE-SU-2012:0933-1, VIGILANCE-VUL-11811.

Description de la vulnérabilité

Le terminal gnome-terminal utilise la bibliothèque (widget) GNOME vte (Virtual Terminal Emulation).

Un terminal supporte les séquences ANSI, qui permettent de modifier l'affichage :
 - ^[ ligne; colonne H : déplacement aux coordonnées (ligne,colonne) de l'écran
 - ^[ nb A : monte de nb lignes
 - ^[ nb L : monte de nb lignes (Partial Line Up, utilisé pour les subscripts de ISO/IEC 6429)
 - ^[ nb M : monte de nb lignes, en remontant le scroll si nécessaire (Reverse Index)
 - ^[ nb P : début d'une séquence de nb contrôles (Device Control String)
 - etc.

Cependant, vte ne limite pas le nombre d'éléments des séquences 'L', 'M' et 'P'. Le terminal consomme alors de nombreuses ressources pour gérer ces séquences.

Un attaquant peut donc inviter la victime à consulter un document texte avec gnome-terminal (GNOME vte), afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit une annonce de vulnérabilités de réseaux. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.