公開日:2008/06/10 最終更新日:2015/10/21
JVN#88935101
X.Org Foundation 製 X サーバにおけるバッファオーバーフローの脆弱性
X.Org Foundation が提供する X サーバにはバッファオーバーフローの脆弱性が存在します。
各ベンダの情報をご確認ください。
X.Org Foundation は、X Window System のオープンソース実装を提供しています。この実装の X サーバには、Portable Compiled Font (PCF) 形式のフォントの処理に問題があり、バッファオーバーフローを起こす脆弱性が存在します。
認証されたユーザが X サーバ上で任意のコードを実行したり、サーバをクラッシュさせたりする可能性があります。
アップデートする
各ベンダが提供する情報をもとに最新版へアップデートしてください。
-
US-CERT Vulnerability Note VU#203220
X.Org PCF font parser buffer overflow -
IPA
「X.Org Foundation 製 X サーバ」におけるセキュリティ上の弱点(脆弱性)の注意喚起
本件に関して、2008年1月17日に X.Org Foundation が security advisory を、2008年3月19日に CERT/CC が VU#203220 を公開しています。
2008.06.10における脆弱性分析結果
| 評価尺度 | 攻撃成立条件 | 評価値 |
|---|---|---|
| 攻撃経路 | インターネット経由からの攻撃が可能 |
|
| 認証レベル | システムに正規登録されている一般ユーザのアカウントが必要 |
|
| 攻撃成立に必要なユーザーの関与 | 設定の変更など、積極的なユーザ動作が必要 |
|
| 攻撃の難易度 | 専門知識や運がなくとも攻撃可能 |
|
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC がベンダとの調整を行いました。
報告者: CODE blog (codeblog.org) 塩崎 拓也 氏
| JPCERT 緊急報告 | |
| JPCERT REPORT | |
| CERT Advisory | |
| CPNI Advisory | |
| TRnotes | |
| CVE |
CVE-2008-0006 |
| JVN iPedia |
JVNDB-2008-001043 |
- 2008/06/12
- 2008年6月12日JPCERT/CC からの補足情報を更新しました。
- 2008/06/12
- JPCERT/CC からの補足情報を更新しました。
- 2008/07/01
- 富士通の JVN#88935101への対応が更新されました。
- 2009/03/03
- アライドテレシス株式会社の JVN#88935101への対応が更新されました。
- 2015/10/21
- 富士通株式会社のベンダステータスが更新されました
