Plusieurs vulnérabilités qui pouvaient permettre l'usurpation de droits ont été découvertes dans le système de fenêtrage X. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants :
Sean Larsson a découvert un dépassement d'entier dans l'extension XC-MISC, qui aurait pu permettre un déni de service ou une usurpation locale de droits.
Greg MacManus a découvert un dépassement d'entier dans la gestion des polices, qui aurait pu permettre un déni de service ou une usurpation locale de droits.
Greg MacManus a découvert un dépassement d'entier dans la gestion des polices, qui pouvait permettre un déni de service ou une usurpation locale de droits.
Sami Leides a découvert un dépassement d'entier dans la bibliothèque libx11, qui aurait pu permettre l'exécution de code arbitraire. Cette mise à jour introduit une vérification plus stricte des entrées fournies à XCreateImage(). Afin d'en tenir compte, cette mise à jour de sécurité est fournie avec un paquet rdesktop corrigé. Une autre application signalée comme incompatible avec cette mise à jour est le navigateur web propriétaire Opera, qui ne fait pas partie de Debian. Néanmoins, son fournisseur a publié des paquets mis à jour.
Pour l'ancienne distribution stable (Sarge), ces problèmes ont été corrigés dans la version 4.3.0.dfsg.1-14sarge4. Cette mise à jour ne fournit pas de paquets pour l'architecture Sparc, en raison de problèmes sur le serveur d'empaquetage. Ils seront publiés dès que le problème sera résolu.
L'actuelle distribution stable (Etch) n'est pas touchée par ces problèmes, puisque ces vulnérabilités ont été déjà corrigées lors de la phase de gel de la préparation d'Etch.
Nous vous recommandons de mettre à jour vos paquets XFree86.
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.