Mehrere Verwundbarkeiten wurden im X-Window-System entdeckt, die zur
Ausführung beliebigen Codes oder einer Diensteverweigerung (denial of
service
) führen können. Das Common Vulnerabilities and
Exposures
-Projekt identifiziert die folgenden Probleme:
Chris Evan entdeckte einen Integer-Überlauf im Code zum Umgang mit PCF-Schriften, was zu einer Diensteverweigerung führen könnte, falls eine missgebildete Schrift geöffnet wird.
Es wurde entdeckt, dass ein Integer-Überlauf im Code zum Umgang mit Adobe-Schriftmetriken zur Ausführung von beliebigem Code führen könnte.
Es wurde entdeckt, dass ein Integer-Überlauf im Code zum Umgang mit CMap- und CIDFont-Schriftdaten zur Ausführung von beliebigem Code führen könnte.
Der XFree86-Initialisierungscode führt eine unzureichende Überprüfung des Rückgabewerts von setuid() aus, wenn Privilegien abgegeben werden, was zu einer Erweiterung der lokalen Privilegien führen könnte.
Für die Stable-Distribution (Sarge) wurden diese Probleme in Version 4.3.0.dfsg.1-14sarge2 behoben. Auf Grund von Plattenplatzbeschränkungen auf dem Build-Rechner fehlen in dieser Aktualisierung Pakete für die Motorola-680x0-Architektur. Sobald dieses Problem behoben ist, werden sie veröffentlicht.
Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 1:1.2.2-1 von libxfont und Version 1:1.0.2-9 von xorg-server behoben.
Wir empfehlen Ihnen, Ihre XFree86-Pakete zu aktualisieren.
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.