Debian セキュリティ勧告

DSA-360-1 xfstt -- 複数の脆弱性

報告日時:
2003-08-01
影響を受けるパッケージ:
xfstt
危険性:
あり
参考セキュリティデータベース:
(SecurityFocus の) Bugtraq データベース: BugTraq ID 8182, BugTraq ID 8255.
Mitre の CVE 辞書: CVE-2003-0581, CVE-2003-0625.
詳細:

X window システム用の TrueType フォントサーバである xfstt に 2 系統の脆弱性が見つかりました:

CAN-2003-0581: リモートの攻撃者は細工したリクエストを送り、 複数のバッファオーバランやサービス拒否、潜在的にはサーバ上の「nobody」 ユーザの権限での任意のコードの実行を引き起こすことが可能です。

CAN-2003-0625: 接続ハンドシェイク中に特定の不正なデータを送ることにより、リモートの攻撃者は xfstt プロセスに属する、メモリの特定の領域を読み取ることが可能です。 この情報はフィンガープリント処理や、別の脆弱性の悪用に活用することができます。

現在の安定版 (stable) ディストリビューション (woody) では、この問題はバージョン 1.2.1-3 で修正されています。

不安定版 (unstable) ディストリビューション (sid)では、CAN-2003-0581 は xfstt 1.5-1 で修正されています。CAN-2003-0625 は近く修正予定です。

直ちに xfstt パッケージを更新することを勧めます。

修正:

Debian GNU/Linux 3.0 (woody)

ソース:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3.dsc
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。