Рекомендация Debian по безопасности

DSA-360-1 xfstt -- различные уязвимости

Дата сообщения:
01.08.2003
Затронутые пакеты:
xfstt
Уязвим:
Да
Ссылки на базы данных по безопасности:
В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 8182, Идентификатор BugTraq 8255.
В каталоге Mitre CVE: CVE-2003-0581, CVE-2003-0625.
Более подробная информация:

Обнаружено, что xfstt, сервер шрифтов TrueType для системы X window, содержит уязвимости двух типов:

CAN-2003-0581: удалённый нападающий может отправить специальным образом подобранный запрос, вызывая переполнение буфера и отказ в обслуживании или, возможно, выполнение произвольного кода на сервере с привилегиями пользователя "nobody".

CAN-2003-0625: неправильные данные определённого рода, отправленные при подтверждении соединения, могут позволить удалённому нападающему прочесть некоторые области памяти, принадлежащие процессу xfstt. Эта информация может использоваться для генерации отпечатков или как вспомогательная при использовании другой уязвимости.

В текущем стабильном дистрибутиве (woody) эти проблемы исправлены в версии 1.2.1-3.

В нестабильном дистрибутиве (sid) проблема CAN-2003-0581 исправлена в xfstt версии 1.5-1, а CAN-2003-0625 будет исправлена в ближайшее время.

Мы рекомендуем вам обновить пакет xfstt.

Исправлено в:

Debian GNU/Linux 3.0 (woody)

Исходный код:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3.dsc
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.