漏洞信息详情
X.Org libXfont BDF字体文件处理基于栈的缓冲区溢出漏洞
- CNNVD编号:CNNVD-201401-122
- 危害等级: 中危
- CVE编号: CVE-2013-6462
- 漏洞类型: 缓冲区溢出
- 发布时间: 2013-12-24
- 威胁类型: 远程
- 更新时间: 2014-01-10
- 厂 商: x
- 漏洞来源: Alan Coopersmith
漏洞简介
X.Org是X.Org基金会运作的一个对X Window系统的官方参考实现,是开源的自由软件。libXfont是一个用于服务器和实用程序的X字体处理库。
X.Org libXfont 1.1至1.4.6版本中的bitmap/bdfread.c文件中的‘bdfReadCharacters’函数中存在基于栈的缓冲区溢出漏洞,该漏洞源于当处理BDF字体文件中的字符名称时程序没有正确验证用户提交的输入。攻击者可借助特制的BDF字体文件中的长字符利用该漏洞造成拒绝服务,也可能执行任意代码,也可能导致未经授权的用户在某些系统上获取root权限。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://lists.x.org/archives/xorg-announce/2014-January/002389.HTML
参考网址
来源: XF
名称: libxfont-cve20136462-bo(90123)
链接:http://xforce.iss.net/xforce/xfdb/90123
来源: BID
名称: 64694
链接:http://www.securityfocus.com/bid/64694
来源: SECUNIA
名称: 56240
链接:http://secunia.com/advisories/56240
来源: MLIST
名称: [oss-security] 20140107 Fwd: X.Org Security Advisory: CVE-2013-6462: Stack buffer overflow in parsing of BDF font files in libXfont
链接:http://seclists.org/oss-sec/2014/q1/33
来源: OSVDB
名称: 101842
链接:http://osvdb.org/101842
来源: MLIST
名称: [xorg-announce] 20140107 X.Org Security Advisory: CVE-2013-6462: Stack buffer overflow in parsing of BDF font files in libXfont
链接:http://lists.x.org/archives/xorg-announce/2014-January/002389.HTML
来源: cgit.freedesktop.org
链接:http://cgit.freedesktop.org/xorg/lib/libXfont/commit/?id=4d024ac10f964f6bd372ae0dd14f02772a6e5f63
受影响实体
- X Libxfont:1.2.5
- X Libxfont:1.2.4
- X Libxfont:1.2.3
- X Libxfont:1.2.2
- X Libxfont:1.2.1
补丁
- libXfont-1.4.7
评论