GLSA 200409-34: X.org, XFree86: Integer and stack overflows in libXpm

Опасность:средняя
Заголовок:X.org, XFree86: Integer and stack overflows in libXpm
Дата:27.09.2004
Ошибки: #64152
ID:200409-34

Сводка

libXpm, the X Pixmap library that is a part of the X Window System, contains multiple stack and integer overflows that may allow a carefully-crafted XPM file to crash applications linked against libXpm, potentially allowing the execution of arbitrary code.

Назначение

XFree86 and X.org are both implementations of the X Window System.

Уязвимые пакеты

Пакет Уязвимый Нетронутый Архитектура(ы)
x11-base/xorg-x11 < 6.7.0-r2 >= 6.7.0-r2 All supported architectures
x11-base/xfree < 4.3.0-r7 >= 4.3.0-r7 alpha, x86
x11-base/xfree < 4.3.0-r7 amd64, hppa, ia64, mips, ppc, sparc

Описание

Chris Evans has discovered multiple integer and stack overflow vulnerabilities in the X Pixmap library, libXpm, which is a part of the X Window System. These overflows can be exploited by the execution of a malicious XPM file, which can crash applications that are dependent on libXpm.

Воздействие

A carefully-crafted XPM file could crash applications that are linked against libXpm, potentially allowing the execution of arbitrary code with the privileges of the user running the application.

Обход

There is no known workaround at this time.

Решение

All X.org users should upgrade to the latest version:

    # emerge sync
    
    # emerge -pv ">=x11-base/xorg-x11-6.7.0-r2"
    # emerge ">=x11-base/xorg-x11-6.7.0-r2"

All XFree86 users should upgrade to the latest version:

# emerge sync # emerge -pv ">=x11-base/xfree-4.3.0-r7" # emerge ">=x11-base/xfree-4.3.0-r7"

Note: Usage of XFree86 is deprecated on the AMD64, HPPA, IA64, MIPS, PPC and SPARC architectures: XFree86 users on those architectures should switch to X.org rather than upgrading XFree86.

Ссылки

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-200409-34.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.

Лицензия

Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.

Спасибо!