阿里云漏洞库

中危 X.Org libXfont BDF字体文件处理栈缓冲区溢出漏洞

CVE编号

CVE-2013-6462

利用情况

暂无

补丁情况

官方补丁

披露时间

2014-01-10

漏洞描述

X.Org是X.Org Foundation对X窗口系统的开源实现。

X.Org libXfont存在栈缓冲区溢出漏洞。由于程序未能正确解析恶意文件的边界，远程攻击者通过向受影响系统发送特制的BDF文件，造成缓冲区溢出，执行任意代码或造成应用崩溃。

解决建议

用户可联系供应商获得补丁信息：
http://www.x.org/wiki/Development/Security

参考链接
http://cgit.freedesktop.org/xorg/lib/libXfont/commit/?id=4d024ac10f964f6bd372...
http://lists.opensuse.org/opensuse-updates/2014-01/msg00050.html
http://lists.opensuse.org/opensuse-updates/2014-01/msg00052.html
http://lists.x.org/archives/xorg-announce/2014-January/002389.html
http://osvdb.org/101842
http://rhn.redhat.com/errata/RHSA-2014-0018.html
http://seclists.org/oss-sec/2014/q1/33
http://secunia.com/advisories/56240
http://secunia.com/advisories/56336
http://secunia.com/advisories/56357
http://secunia.com/advisories/56371
http://www.debian.org/security/2014/dsa-2838
http://www.oracle.com/technetwork/topics/security/cpuapr2014-1972952.html
http://www.securityfocus.com/bid/64694
http://www.ubuntu.com/usn/USN-2078-1
https://exchange.xforce.ibmcloud.com/vulnerabilities/90123

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	x	libxfont	1.1.0	-
	运行在以下环境
	应用	x	libxfont	1.2.0	-
	运行在以下环境
	应用	x	libxfont	1.2.1	-
	运行在以下环境
	应用	x	libxfont	1.2.2	-
	运行在以下环境
	应用	x	libxfont	1.2.3	-
	运行在以下环境
	应用	x	libxfont	1.2.4	-
	运行在以下环境
	应用	x	libxfont	1.2.5	-
	运行在以下环境
	应用	x	libxfont	1.2.6	-
	运行在以下环境
	应用	x	libxfont	1.2.7	-
	运行在以下环境
	应用	x	libxfont	1.2.8	-
	运行在以下环境
	应用	x	libxfont	1.2.9	-
	运行在以下环境
	应用	x	libxfont	1.3.0	-
	运行在以下环境
	应用	x	libxfont	1.3.1	-
	运行在以下环境
	应用	x	libxfont	1.3.2	-
	运行在以下环境
	应用	x	libxfont	1.3.3	-
	运行在以下环境
	应用	x	libxfont	1.3.4	-
	运行在以下环境
	应用	x	libxfont	1.4.0	-
	运行在以下环境
	应用	x	libxfont	1.4.1	-
	运行在以下环境
	应用	x	libxfont	1.4.2	-
	运行在以下环境
	应用	x	libxfont	1.4.3	-
	运行在以下环境
	应用	x	libxfont	1.4.4	-
	运行在以下环境
	应用	x	libxfont	1.4.5	-
	运行在以下环境
	应用	x	libxfont	1.4.6	-
	运行在以下环境
	系统	redhat_6	libXfont	*		Up to (excluding) 0:1.2.2-1.0.5.el5_10
	运行在以下环境
	系统	suse_12	libXfont1	*		Up to (excluding) 1.4.7-2
	运行在以下环境
	系统	ubuntu_12.04.5_lts	libxfont	*		Up to (excluding) 1:1.4.4-1ubuntu0.1

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

全局影响
EXP成熟度

N/A
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

传输被破坏
服务器危害

DoS
全网数量

N/A

CWE-ID	漏洞类型
CWE-119	内存缓冲区边界内操作的限制不恰当