Foram encontradas no xfstt, um servidor de fontes TrueType para o sistema de janelas X, duas classes de vulnerabilidades:
CAN-2003-0581: um atacante remoto pode enviar solicitações alteradas para derrubar qualquer um dos vários buffers em execução, causando uma negação de serviço ou a possibilidade de execução de código arbitrário no servidor com os privilégios do usuário 'nobody'.
CAN-2003-0625: certos dados inválidos enviados durante a conexão podem permitir que um atacante remoto leia certas regiões da memória pertencentes ao processo xfstt. Esta informação pode ser usada para realizar fingerprintings ou para ajudar na exploração de uma vulnerabilidade diferente.
Na atual distribuição estável (woody) este problema foi corrigido na versão 1.2.1-3.
Na distribuição instável (sid), o CAN-2003-0581 foi corrigido no xfstt 1.5-1 e o CAN-2003-0625 será corrigido em breve.
Nós recomendamos que você atualize seus pacotes xfstt.
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.