Проблема вызвана тем, что клиент, работающий со шрифтами от удаленного сервера шрифтов, не проверяет значения некоторых целочисленных переменных, что позволяет занести в них неправильные значения и переполнить стек. Однако уязвимым является не только клиент фонтсервера, но и сами фонтсервер и X-сервер, которые в определенных конфигурациях могут выступать в роли клиентов. Тем самым возможно повышение прав локальным пользователем, если серверы будет настроены в качестве клиента для загрузки шрифтов с сервера злоумышленника.
Обновление доступно в CVS-версии XFree. Рекомендуется также снять suid с исполняемого файла X-сервера.
San АНДРЕЕВ | 03.09.2003 | 13:45 |
Комментарии посетителей:
Ваш комментарий:
|