公開日:2008/06/10 最終更新日:2015/10/21

JVN#88935101
X.Org Foundation 製 X サーバにおけるバッファオーバーフローの脆弱性

概要

X.Org Foundation が提供する X サーバにはバッファオーバーフローの脆弱性が存在します。

影響を受けるシステム

各ベンダの情報をご確認ください。

詳細情報

X.Org Foundation は、X Window System のオープンソース実装を提供しています。この実装の X サーバには、Portable Compiled Font (PCF) 形式のフォントの処理に問題があり、バッファオーバーフローを起こす脆弱性が存在します。

想定される影響

認証されたユーザが X サーバ上で任意のコードを実行したり、サーバをクラッシュさせたりする可能性があります。

対策方法

アップデートする
各ベンダが提供する情報をもとに最新版へアップデートしてください。

参考情報

  1. US-CERT Vulnerability Note VU#203220
    X.Org PCF font parser buffer overflow
  2. IPA
    「X.Org Foundation 製 X サーバ」におけるセキュリティ上の弱点(脆弱性)の注意喚起

JPCERT/CCからの補足情報

本件に関して、2008年1月17日に X.Org Foundation が security advisory を、2008年3月19日に CERT/CC が VU#203220 を公開しています。

JPCERT/CCによる脆弱性分析結果

2008.06.10における脆弱性分析結果

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル システムに正規登録されている一般ユーザのアカウントが必要
  • 低 - 中
攻撃成立に必要なユーザーの関与 設定の変更など、積極的なユーザ動作が必要
攻撃の難易度 専門知識や運がなくとも攻撃可能

各項目の詳しい説明

謝辞

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC がベンダとの調整を行いました。
報告者: CODE blog (codeblog.org) 塩崎 拓也 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2008-0006
JVN iPedia JVNDB-2008-001043

更新履歴

2008/06/12
2008年6月12日JPCERT/CC からの補足情報を更新しました。
2008/06/12
JPCERT/CC からの補足情報を更新しました。
2008/07/01
富士通の JVN#88935101への対応が更新されました。
2009/03/03
アライドテレシス株式会社の JVN#88935101への対応が更新されました。
2015/10/21
富士通株式会社のベンダステータスが更新されました