Debian セキュリティ勧告

DSA-360-1 xfstt -- 複数の脆弱性

報告日時:

2003-08-01

影響を受けるパッケージ:

xfstt

危険性:

あり

参考セキュリティデータベース:

(SecurityFocus の) Bugtraq データベース: BugTraq ID 8182, BugTraq ID 8255.
Mitre の CVE 辞書: CVE-2003-0581, CVE-2003-0625.

詳細:

X window システム用の TrueType フォントサーバである xfstt に 2 系統の脆弱性が見つかりました:

CAN-2003-0581: リモートの攻撃者は細工したリクエストを送り、複数のバッファオーバランやサービス拒否、潜在的にはサーバ上の「nobody」ユーザの権限での任意のコードの実行を引き起こすことが可能です。

CAN-2003-0625: 接続ハンドシェイク中に特定の不正なデータを送ることにより、リモートの攻撃者は xfstt プロセスに属する、メモリの特定の領域を読み取ることが可能です。この情報はフィンガープリント処理や、別の脆弱性の悪用に活用することができます。

現在の安定版 (stable) ディストリビューション (woody) では、この問題はバージョン 1.2.1-3 で修正されています。

不安定版 (unstable) ディストリビューション (sid)では、CAN-2003-0581 は xfstt 1.5-1 で修正されています。CAN-2003-0625 は近く修正予定です。

直ちに xfstt パッケージを更新することを勧めます。

修正:

ソース:: http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3.dsc; http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。