Säkerhetsbulletin från Debian
DSA-360-1 xfstt -- flera sårbarheter
- Rapporterat den:
- 2003-08-01
- Berörda paket:
- xfstt
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 8182, BugTraq-id 8255.
I Mitres CVE-förteckning: CVE-2003-0581, CVE-2003-0625. - Ytterligare information:
-
Två sorters sårbarheter har upptäckts i xfstt, en TrueType-teckensnittserver för X window system:
CAN-2003-0581: en angripare utifrån kunde sända specialskrivna förfrågningar som utlöser flera buffertspill och därmed orsaka en överbelastningsattack eller möjligen exekvera godtycklig kod på servern med användar-id:t ”nobody”:s behörighet.
CAN-2003-0625: specifik ogiltig data som sändes vid anslutningshandskakningen kunde låta en angripare utifrån att läsa specifika delar av det minne som ägs av xfstt-processen. Denna information kunde användas som fingeravtryck, eller för att göra det enklare att utnyttja en annan sårbarhet.
För den nuvarande stabila utgåvan (Woody) har dessa problem rättats i version 1.2.1-3.
För den instabila utgåvan (Sid) är CAN-2003-0581 rättad i xfstt 1.5-1 och CAN-2003-0625 kommer rättas inom kort.
Vi rekommenderar att ni uppgraderar ert xfstt-paket.
- Rättat i:
-
Debian GNU/Linux 3.0 (woody)
- Källkod:
- http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3.dsc
- http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3.tar.gz
- http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3.tar.gz
- Alpha:
- http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.