Säkerhetsbulletin från Debian

DSA-3644-1 fontconfig -- säkerhetsuppdatering

Rapporterat den:
2016-08-08
Berörda paket:
fontconfig
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 833570.
I Mitres CVE-förteckning: CVE-2016-5384.
Ytterligare information:

Tobias Stoeckmann upptäckte att cache-filer valideras otillräckligt i fontconfig, ett generiskt fontkonfigurationsbibliotek. En angripare kan trigga godtycklig free()-anrop, som i sin tur tillåter angrepp med dubbla free() och därmed exekvering av godtycklig kod. I kombination med setuid-binärer som använder skapade cache-filer kunde detta leda till rättighetseskalering.

För den stabila utgåvan (Jessie) har detta problem rättats i version 2.11.0-6.3+deb8u1.

För den instabila utgåvan (Sid) har detta problem rättats i version 2.11.0-6.5.

Vi rekommenderar att ni uppgraderar era fontconfig-paket.