Debians sikkerhedsbulletin

DSA-3644-1 fontconfig -- sikkerhedsopdatering

Rapporteret den:
8. aug 2016
Berørte pakker:
fontconfig
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 833570.
I Mitres CVE-ordbog: CVE-2016-5384.
Yderligere oplysninger:

Tobias Stoeckmann opdagede at cachefiler blev utilstrækkeligt valideret i fontconfig, et generisk bibliotek til opsætning af skrifttyper (fonte). En angriber kunne udløse vilkårlige free()-kald, som dernæst muliggjorde dobbelt frigivelse-angreb, og derfor udførelse af vilkårlig kode. I kombination med binære setuid-filer som anvender fabrikerede cachefiler, kunne det muliggøre rettighedsforøgelse.

I den stabile distribution (jessie), er dette problem rettet i version 2.11.0-6.3+deb8u1.

I den ustabile distribution (sid), er dette problem rettet i version 2.11.0-6.5.

Vi anbefaler at du opgraderer dine fontconfig-pakker.