Рекомендация Debian по безопасности

DSA-3644-1 fontconfig -- обновление безопасности

Дата сообщения:
08.08.2016
Затронутые пакеты:
fontconfig
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 833570.
В каталоге Mitre CVE: CVE-2016-5384.
Более подробная информация:

Тобиас Штёкман обнаружил, что проверка кеш-файлов в fontconfig, общей библиотеке настройки шрифтов, выполняется недостаточно. Злоумышленник может выполнить произвольные вызовы free(), что позволит ему выполнить атаки по двойному освобождению памяти и выполнить произвольный код. При использовании двоичных файлов с установленным setuid вместе со специально сформированными кеш-файлами это может приводить к повышению привилегий.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 2.11.0-6.3+deb8u1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 2.11.0-6.5.

Рекомендуется обновить пакеты fontconfig.