Alerta de Segurança Debian

DSA-360-1 xfstt -- várias vulnerabilidades

Data do Alerta:
01 Ago 2003
Pacotes Afetados:
xfstt
Vulnerável:
Sim
Referência à base de dados de segurança:
Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 8182, ID BugTraq 8255.
No dicionário CVE do Mitre: CVE-2003-0581, CVE-2003-0625.
Informações adicionais:

Foram encontradas no xfstt, um servidor de fontes TrueType para o sistema de janelas X, duas classes de vulnerabilidades:

CAN-2003-0581: um atacante remoto pode enviar solicitações alteradas para derrubar qualquer um dos vários buffers em execução, causando uma negação de serviço ou a possibilidade de execução de código arbitrário no servidor com os privilégios do usuário 'nobody'.

CAN-2003-0625: certos dados inválidos enviados durante a conexão podem permitir que um atacante remoto leia certas regiões da memória pertencentes ao processo xfstt. Esta informação pode ser usada para realizar fingerprintings ou para ajudar na exploração de uma vulnerabilidade diferente.

Na atual distribuição estável (woody) este problema foi corrigido na versão 1.2.1-3.

Na distribuição instável (sid), o CAN-2003-0581 foi corrigido no xfstt 1.5-1 e o CAN-2003-0625 será corrigido em breve.

Nós recomendamos que você atualize seus pacotes xfstt.

Corrigido em:

Debian GNU/Linux 3.0 (woody)

Fonte:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3.dsc
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_sparc.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.