Bulletin d'alerte Debian
DSA-1635-1 freetype -- Multiples vulnérabilités
- Date du rapport :
- 10 septembre 2008
- Paquets concernés :
- freetype
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2008-1806, CVE-2008-1807, CVE-2008-1808.
- Plus de précisions :
-
Quelques vulnérabilités locales ont été découvertes dans freetype, un moteur de fontes FreeType 2, qui pouvaient autoriser l'exécution de code arbitraire.
Le projet « Common Vulnerabilities and Exposures project » a identifié les problèmes suivants.
- CVE-2008-1806
Un dépassement d'entier permet à des attaquants dépendants du contexte d'exécuter un code arbitraire via un jeu artisanal de valeurs dans la table du dictionnaire Private dans un fichier PFB (« Printer Font Binary »).
- CVE-2008-1807
La gestion d'un champ
nombre d'axes
invalide dans le fichier PFB pouvait déclencher la libération de zones mémoire arbitraires, entraînant une corruption de la mémoire. - CVE-2008-1808
De multiples erreurs de décalage d'entier permettaient l'exécution de code arbitraire via des tables mal formées dans des fichiers PFB, ou des instructions SHC invalides dans des fichiers TTF.
Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 2.2.1-5+etch3.
Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.3.6-1.
Nous vous recommandons de mettre à jour votre paquet freetype.
- CVE-2008-1806
- Corrigé dans :
-
Debian GNU/Linux 4.0 (etch)
- Source :
- http://security.debian.org/pool/updates/main/f/freetype/freetype_2.2.1-5+etch3.diff.gz
- http://security.debian.org/pool/updates/main/f/freetype/freetype_2.2.1-5+etch3.dsc
- http://security.debian.org/pool/updates/main/f/freetype/freetype_2.2.1-5+etch3.dsc
- Alpha:
- http://security.debian.org/pool/updates/main/f/freetype/freetype2-demos_2.2.1-5+etch3_alpha.deb
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6-dev_2.2.1-5+etch3_alpha.deb
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6_2.2.1-5+etch3_alpha.deb
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6-udeb_2.2.1-5+etch3_alpha.udeb
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6-dev_2.2.1-5+etch3_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6-dev_2.2.1-5+etch3_amd64.deb
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6-udeb_2.2.1-5+etch3_amd64.udeb
- http://security.debian.org/pool/updates/main/f/freetype/freetype2-demos_2.2.1-5+etch3_amd64.deb
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6_2.2.1-5+etch3_amd64.deb
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6-udeb_2.2.1-5+etch3_amd64.udeb
- ARM:
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6-dev_2.2.1-5+etch3_arm.deb
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6_2.2.1-5+etch3_arm.deb
- http://security.debian.org/pool/updates/main/f/freetype/freetype2-demos_2.2.1-5+etch3_arm.deb
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6-udeb_2.2.1-5+etch3_arm.udeb
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6_2.2.1-5+etch3_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6_2.2.1-5+etch3_hppa.deb
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6-udeb_2.2.1-5+etch3_hppa.udeb
- http://security.debian.org/pool/updates/main/f/freetype/freetype2-demos_2.2.1-5+etch3_hppa.deb
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6-dev_2.2.1-5+etch3_hppa.deb
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6-udeb_2.2.1-5+etch3_hppa.udeb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6-dev_2.2.1-5+etch3_i386.deb
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6_2.2.1-5+etch3_i386.deb
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6-udeb_2.2.1-5+etch3_i386.udeb
- http://security.debian.org/pool/updates/main/f/freetype/freetype2-demos_2.2.1-5+etch3_i386.deb
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6_2.2.1-5+etch3_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6-udeb_2.2.1-5+etch3_ia64.udeb
- http://security.debian.org/pool/updates/main/f/freetype/freetype2-demos_2.2.1-5+etch3_ia64.deb
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6_2.2.1-5+etch3_ia64.deb
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6-dev_2.2.1-5+etch3_ia64.deb
- http://security.debian.org/pool/updates/main/f/freetype/freetype2-demos_2.2.1-5+etch3_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/f/freetype/freetype2-demos_2.2.1-5+etch3_mips.deb
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6-udeb_2.2.1-5+etch3_mips.udeb
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6_2.2.1-5+etch3_mips.deb
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6-dev_2.2.1-5+etch3_mips.deb
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6-udeb_2.2.1-5+etch3_mips.udeb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6_2.2.1-5+etch3_mipsel.deb
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6-udeb_2.2.1-5+etch3_mipsel.udeb
- http://security.debian.org/pool/updates/main/f/freetype/freetype2-demos_2.2.1-5+etch3_mipsel.deb
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6-dev_2.2.1-5+etch3_mipsel.deb
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6-udeb_2.2.1-5+etch3_mipsel.udeb
- PowerPC:
- http://security.debian.org/pool/updates/main/f/freetype/freetype2-demos_2.2.1-5+etch3_powerpc.deb
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6-udeb_2.2.1-5+etch3_powerpc.udeb
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6_2.2.1-5+etch3_powerpc.deb
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6-dev_2.2.1-5+etch3_powerpc.deb
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6-udeb_2.2.1-5+etch3_powerpc.udeb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6-udeb_2.2.1-5+etch3_sparc.udeb
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6_2.2.1-5+etch3_sparc.deb
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6-dev_2.2.1-5+etch3_sparc.deb
- http://security.debian.org/pool/updates/main/f/freetype/freetype2-demos_2.2.1-5+etch3_sparc.deb
- http://security.debian.org/pool/updates/main/f/freetype/libfreetype6_2.2.1-5+etch3_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.