Sauter le menu

• À propos de Debian
• Actualités
• Obtenir Debian
• Assistance
• Le coin du développeur
• Plan du site
• Recherche

Bulletin d'alerte Debian

DSA-360-1 xfstt -- Plusieurs failles de sécurité

Date du rapport:

1 août 2003

Paquets concernés:

xfstt

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans la base de données de suivi des bogues (chez SecurityFocus) : Identificateur BugTraq 8182, Identificateur BugTraq 8255.
Dans le dictionnaire CVE du Mitre : CVE-2003-0581, CVE-2003-0625.

Pour plus d'information:

xfstt, un serveur de polices TrueType pour le gestionnaire graphique X, contient deux types de failles de sécurité :

CAN-2003-0581 : un attaquant distant pouvait envoyer des requêtes conçues pour déclencher n'importe quel dépassement de tampon, causant un déni de service ou l'exécution potentielle de n'importe quel code sur le serveur avec les privilèges de l'utilisateur nobody.

CAN-2003-0625 : certaines données invalides envoyées durant la négociation de la connexion pouvaient permettre à un attaquant distant de lire certaines régions de la mémoire appartenant au processus xfstt. Cette information pouvait être utilisée pour l'identification du système ou pour aider à l'exploitation d'une faille de sécurité différente.

Pour la distribution stable (Woody), ces problèmes ont été corrigés dans la version 1.2.1-3.

Pour la distribution instable (Sid), CAN-2003-0581 est corrigé dans xfstt 1.5-1 et CAN-2003-0625 va être bientôt corrigé.

Nous vous recommandons de mettre à jour votre paquet xfstt.

Corrigé dans:

Debian GNU/Linux 3.0 (woody)

Source :

http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3.dsc

http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3.tar.gz

Alpha:

http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_ia64.deb

HPPA:

http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_hppa.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_m68k.deb

Big endian MIPS:

http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_mips.deb

Little endian MIPS:

http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.

Cette page est aussi disponible dans les langues suivantes :

dansk Deutsch English español Português Русский (Russkij) svenska

Comment configurer la langue par défaut du document