Рекомендация Debian по безопасности

DLA-120-2 xorg-server -- обновление безопасности LTS

Дата сообщения:
04.05.2015
Затронутые пакеты:
xorg-server
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-3418.
Более подробная информация:

Андреас Корд-Ландвер сообщил о проблеме, при которой X.Org Xserver часто аварийно завершает работу с арифметическим исключением при разворачивании во весь экран окон приложений.

Эта проблема (CVE-2015-3418) является регрессом, который появился из-за исправления CVE-2014-8092. Указанная выше версия xorg-server в Debian squeeze-lts исправляет этот регресс следующим способом:

Коде проверки длины проверяет высоту PutImage и байтовую ширину, чтобы байтовая-ширина >= INT32_MAX / высота. Если высота равна нулю, то возникает исключение деление на ноль. Разрешаются явные запросы с нулевой высотой, что обходит проверку INT32_MAX (в dix/dispatch.c).

В Debian 6 Squeeze эти проблемы были исправлены в xorg-server версии 2:1.7.7-18+deb6u3