複数の脆弱性が X Window System にあり、任意のコードの実行やサービス不能 (DoS) 攻撃を引き起こされる可能性があることが発見されました。Common Vulnerabilities and Exposures プロジェクトでは以下の問題を特定しています。
Chris Evan さんにより、PCF フォントを処理するコードに整数オーバフローが発見されました。 この問題により、不正な形式のフォントを開くことで、サービス不能 (DoS) 攻撃が引き起こされる可能性があります。
Adobe Font Metrics を処理するコードに、 任意のコードの実行を引き起こすことが可能な整数オーバフローが発見されました。
CMap および CIDFont フォントデータを処理するコードに、 任意のコードの実行を引き起こすことが可能な整数オーバフローが発見されました。
XFree86 初期化コードが、特権を落とす際に setuid() の戻り値を充分にチェックしておらず、ローカル権限の昇格をもたらす可能性があります。
安定版ディストリビューション (stable、コードネーム sarge) では、これらの問題はバージョン 4.3.0.dfsg.1-14sarge2 で修正されています。 本リリースでは、ビルドホストのディスクスペースの制約が原因で失敗した、Motorola 680x0 アーキテクチャー向けのビルドが不足していますが、 問題が解決された時点でリリースされる予定です。
不安定版ディストリビューション (unstable、コードネーム sid) では、これらの問題は libxfont のバージョン 1:1.2.2-1 および xorg-server のバージョン 1:1.0.2-9 で修正されています。
XFree86 パッケージのアップグレードをお勧めします。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。