Bulletin d'alerte Debian

DSA-2927-1 libxfont -- Mise à jour de sécurité

Date du rapport :
13 mai 2014
Paquets concernés :
libxfont
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-0209, CVE-2014-0210, CVE-2014-0211.
Plus de précisions :

Ilja van Sprundel d'IOActive a découvert plusieurs problèmes de sécurité dans la bibliothèque libXfont d'X.Org, qui peuvent permettre à un utilisateur local authentifié de tenter une augmentation de droits ou à un attaquant distant, qui peut contrôler le serveur de polices, de tenter d'exécuter du code avec les privilèges du serveur X.

  • CVE-2014-0209

    Un dépassement d'entier des allocations dans l'analyse du fichier des métadonnées des polices pourrait permettre à un utilisateur local qui est déjà authentifié au serveur X d'écraser d'autre mémoire dans le tas.

  • CVE-2014-0210

    libxfont ne valide pas la longueur des champs lors des réponses de l'analyse du protocole xfs permettant d'écrire au-delà des limites de la mémoire allouée, pendant le stockage des données retournées par le serveur de polices.

  • CVE-2014-0211

    Des dépassements d'entier dans le calcul des besoins de mémoire pour les réponses de xfs pourraient avoir pour conséquence l'allocation d'insuffisamment de mémoire et donc d'écrire les données retournées par le serveur de polices au-delà de la fin du tampon alloué.

Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 1:1.4.1-5.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1:1.4.5-4.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1:1.4.7-2.

Nous vous recommandons de mettre à jour vos paquets libxfont.