Säkerhetsbulletin från Debian

DSA-360-1 xfstt -- flera sårbarheter

Rapporterat den:
2003-08-01
Berörda paket:
xfstt
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 8182, BugTraq-id 8255.
I Mitres CVE-förteckning: CVE-2003-0581, CVE-2003-0625.
Ytterligare information:

Två sorters sårbarheter har upptäckts i xfstt, en TrueType-teckensnittserver för X window system:

CAN-2003-0581: en angripare utifrån kunde sända specialskrivna förfrågningar som utlöser flera buffertspill och därmed orsaka en överbelastningsattack eller möjligen exekvera godtycklig kod på servern med användar-id:t ”nobody”:s behörighet.

CAN-2003-0625: specifik ogiltig data som sändes vid anslutningshandskakningen kunde låta en angripare utifrån att läsa specifika delar av det minne som ägs av xfstt-processen. Denna information kunde användas som fingeravtryck, eller för att göra det enklare att utnyttja en annan sårbarhet.

För den nuvarande stabila utgåvan (Woody) har dessa problem rättats i version 1.2.1-3.

För den instabila utgåvan (Sid) är CAN-2003-0581 rättad i xfstt 1.5-1 och CAN-2003-0625 kommer rättas inom kort.

Vi rekommenderar att ni uppgraderar ert xfstt-paket.

Rättat i:

Debian GNU/Linux 3.0 (woody)

Källkod:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3.dsc
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/x/xfstt/xfstt_1.2.1-3_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.