Två sorters sårbarheter har upptäckts i xfstt, en TrueType-teckensnittserver för X window system:
CAN-2003-0581: en angripare utifrån kunde sända specialskrivna förfrågningar som utlöser flera buffertspill och därmed orsaka en överbelastningsattack eller möjligen exekvera godtycklig kod på servern med användar-id:t ”nobody”:s behörighet.
CAN-2003-0625: specifik ogiltig data som sändes vid anslutningshandskakningen kunde låta en angripare utifrån att läsa specifika delar av det minne som ägs av xfstt-processen. Denna information kunde användas som fingeravtryck, eller för att göra det enklare att utnyttja en annan sårbarhet.
För den nuvarande stabila utgåvan (Woody) har dessa problem rättats i version 1.2.1-3.
För den instabila utgåvan (Sid) är CAN-2003-0581 rättad i xfstt 1.5-1 och CAN-2003-0625 kommer rättas inom kort.
Vi rekommenderar att ni uppgraderar ert xfstt-paket.
MD5-kontrollsummor för dessa filer finns i originalbulletinen.