Debian セキュリティ勧告

DSA-2388-1 t1lib -- 複数の脆弱性

報告日時:
2012-01-14
影響を受けるパッケージ:
t1lib
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 652996.
Mitre の CVE 辞書: CVE-2010-2642, CVE-2011-0433, CVE-2011-0764, CVE-2011-1552, CVE-2011-1553, CVE-2011-1554.
詳細:

複数の欠陥が、PostScript Type 1 フォントラスタライザライブラリ t1lib に発見されました。この中の一部の欠陥は、不正なフォントが埋め込まれた ファイルを開くことによる任意のコードの実行に繋がるものです。

  • CVE-2010-2642

    AFM フォントメトリックパーザにヒープベースのバッファオーバフ ローがあり、任意のコードの実行に繋がる可能性があります。

  • CVE-2011-0433

    AFM フォントメトリックパーザに上記とは別のヒープベースのバッ ファオーバフローがあり、任意のコードの実行に繋がる可能性があ ります。

  • CVE-2011-0764

    細工した Type 1 フォントにより不正なポインタ参照が発生するた め、任意のコードの実行を許します。

  • CVE-2011-1552

    細工した Type 1 フォントにより上記とは別の不正なポインタ参照 が発生するため、アプリケーションがクラッシュします。

  • CVE-2011-1553

    細工した Type 1 フォントによりメモリの解放後使用が発生するた め、アプリケーションがクラッシュします。

  • CVE-2011-1554

    境界を 1 誤るバグにより、細工された Type 1 フォントにより誤っ たメモリ呼び出しが起き、アプリケーションがクラッシュします。

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題は バージョン 5.1.2-3+lenny1 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 5.1.2-3+squeeze1 で修正されています。

テスト版ディストリビューション (wheezy) では、この問題はバージョン 5.1.2-3.4 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバー ジョン 5.1.2-3.4 で修正されています。

直ぐに t1lib パッケージをアップグレードすることを勧めます