Plusieurs vulnérabilités à distance ont été découvertes dans le système de fenêtrage X, cela peut conduire à l'exécution de code arbitraire ou un déni de service. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :
Chris Evan a découvert un dépassement d'entier dans le code qui gère les polices PCF, cela peut conduire à un déni de service si une police mal formée est ouverte.
On a découvert qu'un dépassement d'entier dans le code qui gère les métriques des polices Adobe pouvait conduire à l'exécution de code arbitraire.
On a découvert qu'un dépassement d'entier dans le code qui gère les données des polices CMap et CIDFont pouvait conduire à l'exécution de code arbitraire.
Le code d'initialisation de XFree86 n'effectue pas de vérifications suffisantes de la valeur retournée par setuid() lors de l'abandon de privilèges, cela peut conduire à une augmentation locale de privilèges.
Pour la distribution stable (Sarge), ces problèmes ont été corrigés dans la version 4.3.0.dfsg.1-14sarge2. Pour cette mise à jour, l'architecture Motorola 680x0 manque car la construction a échoué à cause de contraintes d'espace disque sur l'hôte de construction. Ils seront publiés lorsque ce problème aura été résolu.
Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 1:1.2.2-1 de libxfont et la version 1:1.0.2-9 de xorg-server.
Nous vous recommandons de mettre à jour vos paquets XFree86.
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.