Bulletin d'alerte Debian

DLA-1126-1 libxfont -- Mise à jour de sécurité pour LTS

Date du rapport :
7 octobre 2017
Paquets concernés :
libxfont
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-13720, CVE-2017-13722.
Plus de précisions :

Deux vulnérabilités existaient dans la bibliothèque fournissant la sélection et la matricialisation de fontes, libxfont.

  • CVE-2017-13720

    Si un modèle contenait un caractère « ? », n’importe quel caractère de la chaîne était omis même s’il était un « \0 ». Le reste de la correspondance lisait une mémoire non valable.

  • CVE-2017-13722

    Un fichier PCF mal formé pouvait faire que la bibliothèque lise à partir d’une mémoire de tas aléatoire qui était derrière le tampon de « strings », conduisant à un plantage d'application ou à une fuite d'informations.

Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 1:1.4.5-5+deb7u1 de libxfont.

Nous vous recommandons de mettre à jour vos paquets libxfont.