GLSA 200609-07: LibXfont, monolithic X.org: Multiple integer overflows
Опасность: | высокая |
Заголовок: | LibXfont, monolithic X.org: Multiple integer overflows |
Дата: | 13.09.2006 |
Ошибки: |
|
ID: | 200609-07 |
Сводка
Some buffer overflows were discovered in the CID font parser, potentially resulting in the execution of arbitrary code with elevated privileges.Назначение
libXfont is the X.Org Xfont library, some parts are based on the FreeType code base.
Уязвимые пакеты
Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
---|---|---|---|
x11-libs/libXfont | < 1.2.1 | >= 1.2.1 | All supported architectures |
x11-base/xorg-x11 | < 7.0 | >= 7.0 | All supported architectures |
Описание
Several integer overflows have been found in the CID font parser.
Воздействие
A remote attacker could exploit this vulnerability by enticing a user to load a malicious font file resulting in the execution of arbitrary code with the permissions of the user running the X server which typically is the root user. A local user could exploit this vulnerability to gain elevated privileges.
Обход
Disable CID-encoded Type 1 fonts by removing the "type1" module and replacing it with the "freetype" module in xorg.conf.
Решение
All libXfont users should upgrade to the latest version:
# emerge --sync # emerge --ask --oneshot --verbose ">=x11-libs/libXfont-1.2.1"
All monolithic X.org users are advised to migrate to modular X.org.
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.