GLSA 200609-07: LibXfont, monolithic X.org: Multiple integer overflows

http://security.gentoo.org/

Опасность:	высокая
Заголовок:	LibXfont, monolithic X.org: Multiple integer overflows
Дата:	13.09.2006
Ошибки:	#145513
ID:	200609-07

Сводка

Some buffer overflows were discovered in the CID font parser, potentially resulting in the execution of arbitrary code with elevated privileges.

Назначение

libXfont is the X.Org Xfont library, some parts are based on the FreeType code base.

Уязвимые пакеты

Пакет	Уязвимый	Нетронутый	Архитектура(ы)
x11-libs/libXfont	< 1.2.1	>= 1.2.1	All supported architectures
x11-base/xorg-x11	< 7.0	>= 7.0	All supported architectures

Описание

Several integer overflows have been found in the CID font parser.

Воздействие

A remote attacker could exploit this vulnerability by enticing a user to load a malicious font file resulting in the execution of arbitrary code with the permissions of the user running the X server which typically is the root user. A local user could exploit this vulnerability to gain elevated privileges.

Обход

Disable CID-encoded Type 1 fonts by removing the "type1" module and replacing it with the "freetype" module in xorg.conf.

Решение

All libXfont users should upgrade to the latest version:

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=x11-libs/libXfont-1.2.1"

All monolithic X.org users are advised to migrate to modular X.org.

Ссылки

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-200609-07.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.