Debians sikkerhedsbulletin

DSA-360-1 xfstt -- flere sårbarheder

Rapporteret den:
1. aug 2003
Berørte pakker:
xfstt
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 8182, BugTraq-id 8255.
I Mitres CVE-ordbog: CVE-2003-0581, CVE-2003-0625.
Yderligere oplysninger:

xfstt, en TrueType-skrifttypeserver til X Window-systemet har vist sig at indeholder to former for sårbarheder:

CAN-2003-0581: En fjernangriber kunne sende forespørgsler, fremstillet til at udløse et af flere bufferoverløb, resulterende i et lammelsesangreb eller muligvis udførelse af vilkårlig kode på serveren, med rettighederne hørende til brugeren "nobody".

CAN-2003-0625: Visse ugyldige data ved et forbindelseshåndtryk, kunne gøre det muligt for en fjernangriber at læse visse hukommelsesområder, hørende til xfstt-processen. Disse oplysninger kunne anvendes til at tage fingeraftryk eller som en hjælp i udnyttelsen af en anden sårbarhed.

I den nuværende stabile distribution (woody) er disse problemer rettet i version 1.2.1-3.

I den ustabile distribution (sid), er CAN-2003-0581 rettet i xfstt 1.5-1 og CAN-2003-0625 snart blive rettet.

Vi anbefaler at du opdaterer din xfstt-pakke.

Rettet i:

Debian GNU/Linux 3.0 (woody)

Kildekode:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3.dsc
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.