Рекомендация Debian по безопасности
DSA-360-1 xfstt -- различные уязвимости
- Дата сообщения:
- 01.08.2003
- Затронутые пакеты:
- xfstt
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 8182, Идентификатор BugTraq 8255.
В каталоге Mitre CVE: CVE-2003-0581, CVE-2003-0625. - Более подробная информация:
-
Обнаружено, что xfstt, сервер шрифтов TrueType для системы X window, содержит уязвимости двух типов:
CAN-2003-0581: удалённый нападающий может отправить специальным образом подобранный запрос, вызывая переполнение буфера и отказ в обслуживании или, возможно, выполнение произвольного кода на сервере с привилегиями пользователя "nobody".
CAN-2003-0625: неправильные данные определённого рода, отправленные при подтверждении соединения, могут позволить удалённому нападающему прочесть некоторые области памяти, принадлежащие процессу xfstt. Эта информация может использоваться для генерации отпечатков или как вспомогательная при использовании другой уязвимости.
В текущем стабильном дистрибутиве (woody) эти проблемы исправлены в версии 1.2.1-3.
В нестабильном дистрибутиве (sid) проблема CAN-2003-0581 исправлена в xfstt версии 1.5-1, а CAN-2003-0625 будет исправлена в ближайшее время.
Мы рекомендуем вам обновить пакет xfstt.
- Исправлено в:
-
Debian GNU/Linux 3.0 (woody)
- Исходный код:
- http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3.dsc
- http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3.tar.gz
- http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3.tar.gz
- Alpha:
- http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_sparc.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.