L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Dia

avis de vulnérabilité informatique CVE-2006-2453 CVE-2006-2480

Dia : attaques par format

Synthèse de la vulnérabilité

Un attaquant peut créer un fichier DIA illicite afin de provoquer des attaques par format qui pourraient conduire à l'exécution de code.
Produits concernés : Dia, Fedora, Mandriva Corporate, Mandriva Linux, openSUSE, RHEL, Unix (plateforme) ~ non exhaustif.
Gravité : 1/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 29/05/2006.
Date révision : 30/05/2006.
Références : 342111, BID-18078, CERTA-2006-AVI-211, CVE-2006-2453, CVE-2006-2480, FEDORA-2006-580, MDKSA-2006:093, RHSA-2006:054, RHSA-2006:0541-02, SUSE-SR:2006:012, VIGILANCE-VUL-5869.

Description de la vulnérabilité

Le programme Dia permet de dessiner divers types de diagrammes.

Il comporte plusieurs attaques par format dans les fonctions :
 message_*
 g_print
 g_message
 g_warning
 dia_assert_true

Un attaquant peut donc créer un fichier DIA dont l'ouverture corrompt la mémoire et pourrait conduire à l'exécution de code.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2006-1550

Dia : multiples débordements de FIG

Synthèse de la vulnérabilité

Un attaquant peut créer un fichier FIG illicite afin de provoquer des débordements qui pourraient conduire à l'exécution de code.
Produits concernés : Debian, Dia, Fedora, Mandriva Corporate, Mandriva Linux, openSUSE, RHEL, Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 04/04/2006.
Références : BID-17310, CERTA-2002-AVI-009, CERTA-2006-AVI-130, CVE-2006-1550, DSA-1025-1, FEDORA-2006-261, MDKSA-2006:062, RHSA-2006:028, RHSA-2006:0280-01, SUSE-SR:2006:009, VIGILANCE-VUL-5736.

Description de la vulnérabilité

Le programme Dia permet de dessiner divers types de diagrammes.

Le format de fichier FIG est notamment généré par le logiciel Xfig.

Lorsqu'un fichier FIG contient un "index de couleur", un "nombre de points" ou une "profondeur" illicite, un débordement se produit lors de son import dans Dia.

Ce débordement pourrait conduire à l'exécution de code.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2005-2966

Dia : exécution de code à l'aide de document SVG

Synthèse de la vulnérabilité

Du code Python peut s'exécuter dans Dia lors de l'ouverture d'un document SVG.
Produits concernés : Debian, Dia, Mandriva Linux, openSUSE, Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 10/10/2005.
Références : BID-15000, CERTA-2005-AVI-387, CVE-2005-2966, DSA-847-1, MDKSA-2005:18, MDKSA-2005:187, SUSE-SR:2005:022, VIGILANCE-VUL-5249.

Description de la vulnérabilité

Le programme Dia permet de créer des graphiques vectoriels.

Lorsqu'un document SVG est importé à l'aide de plug-ins/python/diasvg_import.py, la fonction eval() est appelée sur des données provenant du document. Cependant, ces données ne sont pas purgées, ce qui permet l'exécution de code Python.

Cette vulnérabilité permet donc à un attaquant de faire exécuter du code lors de l'ouverture d'un document SVG par Dia.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Dia :