レッドハット | オープンソース・カンパニー

Account Links: RHN登録方法 | RHN登録 | RHNログイン

サポート > セキュリティー&アップデート/ERRATA

XFree86パッケージのアップデート

アドバイスID:	RHSA-2003:288-05
最終更新日:	2003-11-17
影響のあるプロダクト:	Red Hat Linux 9
CVEs (cve.mitre.org):

セキュリティ・アドバイス

概要:

Updated XFree86 packages for Red Hat Linux 9 provide security
fixes to font libraries and XDM.

XFree86 is an implementation of the X Window System providing the core
graphical user interface and video drivers in Red Hat Linux. XDM is the X
display manager.

Multiple integer overflows in the transfer and enumeration of font
libraries in XFree86 allow local or remote attackers to cause a denial of
service or execute arbitrary code via heap-based and stack-based buffer
overflow attacks. The Common Vulnerabilities and Exposures project
(cve.mitre.org) has assigned the name CAN-2003-0730 to this issue.

The risk to users from this vulnerability is limited because only clients
can be affected by these bugs, however in some (non-default)
configurations, both xfs and the X Server can act as clients
to remote font servers.

XDM does not verify whether the pam_setcred function call succeeds, which
may allow attackers to gain root privileges by triggering error conditions
within PAM modules, as demonstrated in certain configurations of the
pam_krb5 module. The Common Vulnerabilities and Exposures project
(cve.mitre.org) has assigned the name CAN-2003-0690 to this issue.

XDM uses a weak session cookie generation algorithm that does not provide
128 bits of entropy, which allows attackers to guess session cookies via
brute force methods and gain access to the user session. The Common
Vulnerabilities and Exposures project (cve.mitre.org) has assigned the name
CAN-2003-0692 to this issue.

Users are advised to upgrade to these updated XFree86 4.3.0 packages, which
contain backported security patches and are not vulnerable to these issues.

アップデート・パッケージ:

Red Hat Linux 9

SRPMS:
XFree86-4.3.0-2.90.43.src.rpm [ via FTP ] [ via HTTP ]	`197d83599eabea9ab424a9390fe7d753`

i386:
XFree86-100dpi-fonts-4.3.0-2.90.43.i386.rpm [ via FTP ] [ via HTTP ]	`89864dfb981aaa052499e338cb85acd9`
XFree86-4.3.0-2.90.43.i386.rpm [ via FTP ] [ via HTTP ]	`31bbf1f22ba1fa6dea820b88e9a2059e`
XFree86-75dpi-fonts-4.3.0-2.90.43.i386.rpm [ via FTP ] [ via HTTP ]	`edd5121ecf72d39fd7581145c8b7fcbc`
XFree86-base-fonts-4.3.0-2.90.43.i386.rpm [ via FTP ] [ via HTTP ]	`6f2aca8b9f3137b5da779c56eb73ec14`
XFree86-cyrillic-fonts-4.3.0-2.90.43.i386.rpm [ via FTP ] [ via HTTP ]	`5aa4659e2ec992b1b087e8d6c7190ff6`
XFree86-devel-4.3.0-2.90.43.i386.rpm [ via FTP ] [ via HTTP ]	`c6f870637e148f1da88e93181191f8da`
XFree86-doc-4.3.0-2.90.43.i386.rpm [ via FTP ] [ via HTTP ]	`0a427f41d4558bdd0b5cbcc857b9f766`
XFree86-font-utils-4.3.0-2.90.43.i386.rpm [ via FTP ] [ via HTTP ]	`b3d53e1f9112010e9d3d2a866cfe4157`
XFree86-ISO8859-14-100dpi-fonts-4.3.0-2.90.43.i386.rpm [ via FTP ] [ via HTTP ]	`826d4f7c2914b732ca43485266b3daad`
XFree86-ISO8859-14-75dpi-fonts-4.3.0-2.90.43.i386.rpm [ via FTP ] [ via HTTP ]	`89088cdc60bb8569da301d50e05d8f63`
XFree86-ISO8859-15-100dpi-fonts-4.3.0-2.90.43.i386.rpm [ via FTP ] [ via HTTP ]	`91b062cc8015a5898894bfdf90d6ff99`
XFree86-ISO8859-15-75dpi-fonts-4.3.0-2.90.43.i386.rpm [ via FTP ] [ via HTTP ]	`9f59c6547411fd257c45a953ab6e5921`
XFree86-ISO8859-2-100dpi-fonts-4.3.0-2.90.43.i386.rpm [ via FTP ] [ via HTTP ]	`4e1c0ac39a47f968a2e7299be1efaf48`
XFree86-ISO8859-2-75dpi-fonts-4.3.0-2.90.43.i386.rpm [ via FTP ] [ via HTTP ]	`bf9432be1a3ce7d4b24901420f07fb5d`
XFree86-ISO8859-9-100dpi-fonts-4.3.0-2.90.43.i386.rpm [ via FTP ] [ via HTTP ]	`96aa54b74718fdbdd72e8ccec8415b3f`
XFree86-ISO8859-9-75dpi-fonts-4.3.0-2.90.43.i386.rpm [ via FTP ] [ via HTTP ]	`bc79f57efa4e1a845382827d9021fd1e`
XFree86-libs-4.3.0-2.90.43.i386.rpm [ via FTP ] [ via HTTP ]	`d3b427915a56fcf2a4de2a26266f7903`
XFree86-libs-data-4.3.0-2.90.43.i386.rpm [ via FTP ] [ via HTTP ]	`83dd0d4ecae97e40f0bd47ed07309b93`
XFree86-Mesa-libGL-4.3.0-2.90.43.i386.rpm [ via FTP ] [ via HTTP ]	`5f72d9cb4aac84f6dfd2fc0439037272`
XFree86-Mesa-libGLU-4.3.0-2.90.43.i386.rpm [ via FTP ] [ via HTTP ]	`50b9edb13b54d3769602da54bb3183af`
XFree86-sdk-4.3.0-2.90.43.i386.rpm [ via FTP ] [ via HTTP ]	`7b970292113693ae24285baca7effcd5`
XFree86-syriac-fonts-4.3.0-2.90.43.i386.rpm [ via FTP ] [ via HTTP ]	`aef8d7a6c6639c8ae9b5c8d554e458d2`
XFree86-tools-4.3.0-2.90.43.i386.rpm [ via FTP ] [ via HTTP ]	`99a9274e87f44f1186fb53acf0e47553`
XFree86-truetype-fonts-4.3.0-2.90.43.i386.rpm [ via FTP ] [ via HTTP ]	`371796a37e8f6f15d07cbbb4a2d35539`
XFree86-twm-4.3.0-2.90.43.i386.rpm [ via FTP ] [ via HTTP ]	`aa51b88ccb54f3cf3b93cc02271d107e`
XFree86-xauth-4.3.0-2.90.43.i386.rpm [ via FTP ] [ via HTTP ]	`d6c6c99723f3711befd8071567f79550`
XFree86-xdm-4.3.0-2.90.43.i386.rpm [ via FTP ] [ via HTTP ]	`f3b70dbc805125764fb118e6bd81fd3a`
XFree86-xfs-4.3.0-2.90.43.i386.rpm [ via FTP ] [ via HTTP ]	`f97f679e9543b2506d41deff0afc2042`
XFree86-Xnest-4.3.0-2.90.43.i386.rpm [ via FTP ] [ via HTTP ]	`b37d0aefee6a1b379be3ab30cd1923df`
XFree86-Xvfb-4.3.0-2.90.43.i386.rpm [ via FTP ] [ via HTTP ]	`dd3a8c3271854b8e26dad948998e8952`

解決法:

このアップデートを適用する前に、システムに関連するリリース済の errata が適用済であることをご確認ください。
それぞれのアーキテクチャで全てのRPMをアップデートするには、以下のコマンドを実行してください：

rpm -Fvh [filename]

[filename] は、アップデートしたいRPMのファイル名です。現在インストールされているパッケージのみ、アップグレードされます。現在いるディレクトリにインストールしたいRPM *しか* 無い場合には、ワイルドカード (*.rpm) も使うことができます。
このアップデートは、Red Hat Network 経由でも行なえます。アップデートを適用する非常に簡便な方法です。Red hat Network をご利用になるには、以下のコマンドで、アップデートエージェントを起動してください。

up2date

このコマンドで、システムに適切なRPMをアップグレードする対話形式のプロセスを起動します。

参照:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0690
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0692
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0730

ここに在るパッケージはセキュリティの為、 Red Hat, Inc. によって、 GPG 認証されています。キーは以下から利用可能になっています:
http://www.redhat.com/about/contact.html

各パッケージを確認するには次のコマンドをご利用ください: rpm --checksig filename
各パッケージが壊れていないか、もしくは改ざんされていないかを確認するには、以下のコマンドで MD5 チェックサムをお調べください: rpm --checksig --nogpg filename
注意: GnuPG キーをチェックするためには、RPM 3.0 以上が必要です。

メインリンク:

Links for this section: