阿里云漏洞库

漏洞描述

X.Org是X.Org基金会运作的一个对X Window系统的官方参考实现，是开源的自由软件。libXfont是一个用于服务器和实用程序的X字体处理库。

X.Org libXfont 1.4.9之前版本和1.5.1之前的1.5.x版本的bitmap/bdfread.c文件中的‘bdfReadCharacters’函数存在安全漏洞，该漏洞源于程序未能正确执行度量值的类型转换。远程攻击者利用该漏洞可借助特制的BDF字体文件造成拒绝服务（越边界内存访问），执行任意代码。

解决建议

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：
http://www.x.org/wiki/Development/Security/Advisory-2015-03-17/

参考链接
http://advisories.mageia.org/MGASA-2015-0113.html
http://lists.fedoraproject.org/pipermail/package-announce/2015-March/152497.html
http://lists.fedoraproject.org/pipermail/package-announce/2015-March/152838.html
http://lists.opensuse.org/opensuse-security-announce/2015-03/msg00032.html
http://lists.opensuse.org/opensuse-security-announce/2015-04/msg00002.html
http://lists.opensuse.org/opensuse-security-announce/2015-04/msg00005.html
http://lists.opensuse.org/opensuse-updates/2015-12/msg00074.html
http://rhn.redhat.com/errata/RHSA-2015-1708.html
http://www.debian.org/security/2015/dsa-3194
http://www.mandriva.com/security/advisories?name=MDVSA-2015:145
http://www.oracle.com/technetwork/topics/security/bulletinapr2015-2511959.html
http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html
http://www.securityfocus.com/bid/73279
http://www.securitytracker.com/id/1031935
http://www.ubuntu.com/usn/USN-2536-1
http://www.x.org/wiki/Development/Security/Advisory-2015-03-17/
https://security.gentoo.org/glsa/201507-21

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	x	libxfont	*		Up to (including) 1.4.8
	运行在以下环境
	应用	x	libxfont	1.5.0	-
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 1:1.5.1-1
	运行在以下环境
	系统	redhat_7	libXfont	*		Up to (excluding) 0:1.4.5-5.el6_7
	运行在以下环境
	系统	suse_12	libXfont1	*		Up to (excluding) 1.5.1-10
	运行在以下环境
	系统	ubuntu_12.04.5_lts	libxfont	*		Up to (excluding) 1:1.4.4-1ubuntu0.3
	运行在以下环境
	系统	ubuntu_14.04.6_lts	libxfont	*		Up to (excluding) 1:1.4.7-1ubuntu0.2

攻击路径

远程
攻击复杂度

困难
权限要求

普通权限
影响范围

N/A
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

传输被破坏
服务器危害

服务器失陷
全网数量

N/A

CWE-ID	漏洞类型
CWE-189	数值错误

低危 X.Org libXfont bitmap/bdfread.c拒绝服务漏洞

漏洞描述

解决建议

参考链接

受影响软件情况