[Debian] Schwachstelle in libXpm-Bibliothek im xfree86-Paket - DSA 561-1

win-sec-ssc at dfn-cert.de win-sec-ssc at dfn-cert.de
Mon Oct 11 15:33:55 CEST 2004


-----BEGIN PGP SIGNED MESSAGE-----

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgende Warnung des Debian-Teams. Wir geben
diese Informationen unveraendert an Sie weiter.

Die Xpm-Bibliothek stellt Routinen zur Verarbeitung von Pixmaps bereit.

CAN-2004-0687 - Mehrere Stack Overflows in libXpm

  Es existiert ein Fehler bei der Behandlung von 8-Bit RLE enkodierten
  BMP-Bildern in der Xpm-Bibliothek, durch den ein Heap Overflow
  ausgeloest werden kann. Bei erfolgreicher Ausnutzung der Schwachstelle
  kann ein Angreifer beliebigen Code mit den Rechten der Anwendung
  ausfuehren, welche die Bibliothek verwendet.

CAN-2004-0688 - Integer Overflow in libXpm

  In der Bibliothek libXpm, genauer in der Funktion xpmParseColors (in
  der Datei parse.c) kann ein Integer Overflow auftreten. Ein Angreifer
  kann diese Schwachstelle dazu ausnutzen, beliebigen Code mit den
  Privilegien des Benutzers der Anwendung auszufuehren, welche die
  libXpm verwendet. Dazu muss der Benutzer dazu gebracht werden, ein
  entsprechend aufgebautes Xpm-Bild mit der Anwendung zu dekodieren.

Betroffen sind die folgenden Software Pakete und Plattformen:

  Paket xfree86 in stable Distribution (woody) vor Version 4.1.0-16woody4


More information about the Security-Announce mailing list