X.org X11 Server तक 7.7 BDF Font Character Name bitmap/bdfread.c bdfReadCharacters charName बफ़र ओवरफ़्लो

| CVSS मेटा अस्थायी स्कोर | वर्तमान एक्सप्लॉइट मूल्य (≈) | CTI रुचि स्कोर |
|---|---|---|
| 9.5 | $0-$5k | 0.00 |
सारांश
एक सुरक्षा कमजोरी, जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, X.org X11 Server तक 7.7 में पाई गई है। प्रभावित होता है फ़ंक्शन bdfReadCharacters फ़ाइल bitmap/bdfread.c का घटक BDF Font Character Name Handler का। यह हेरफेर charName तर्क बफ़र ओवरफ़्लो उत्पन्न करता है।
यह कमजोरी CVE-2013-6462 के नाम से सूचीबद्ध है। कोई एक्सप्लॉइट नहीं मिला है. इस भेद्यता का इसके पृष्ठभूमि और प्रतिक्रिया के कारण ऐतिहासिक प्रभाव है।
प्रभावित घटक को अपग्रेड करने की सिफारिश की जाती है।
विवरण
एक सुरक्षा कमजोरी, जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, X.org X11 Server तक 7.7 में पाई गई है। प्रभावित होता है फ़ंक्शन bdfReadCharacters फ़ाइल bitmap/bdfread.c का घटक BDF Font Character Name Handler का। यह हेरफेर charName तर्क बफ़र ओवरफ़्लो उत्पन्न करता है। CWE के माध्यम से समस्या घोषित करने पर CWE-119 मिलता है। इस कमजोरी को प्रकाशित किया गया था 07/01/2014 द्वारा Alan Coopersmith के रूप में X.Org Security Advisory: CVE-2013-6462: Stack buffer overflow in parsing of BDF font files in libXfont के रूप में Mailinglist Post (वेबसाइट). यह सलाह lists.x.org पर डाउनलोड के लिए साझा की गई है।
यह कमजोरी CVE-2013-6462 के नाम से सूचीबद्ध है। 04/11/2013 को CVE असाइन किया गया था. टेक्निकल डिटेल्स उपलब्ध हैं. इस भेद्यता की लोकप्रियता औसत से कम है। कोई एक्सप्लॉइट नहीं मिला है. इस समय एक एक्सप्लॉइट की मौजूदा कीमत might be approx. USD $0-$5k है। इस भेद्यता का इसके पृष्ठभूमि और प्रतिक्रिया के कारण ऐतिहासिक प्रभाव है। इस भेद्यता के लिए यह कोड अंश जिम्मेदार है:
if (sscanf((char *) line, "STARTCHAR %s", charName) != 1) { एडवाइजरी में उल्लेख किया गया है:This bug appears to have been introduced in the initial RCS version 1.1 checked in on 1991/05/10, and is thus believed to be present in every X11 release starting with X11R5 up to the current libXfont 1.4.6.
यह परिभाषित नहीं के रूप में घोषित है। 0-डे के रूप में अनुमानित अंडरग्राउंड कीमत लगभग $5k-$25k थी. Nessus वल्नरेबिलिटी स्कैनर 71901 आईडी के साथ एक प्लगइन उपलब्ध कराता है। यह CentOS Local Security Checks परिवार को सौंपा गया है। यह प्लगइन l टाइप के कॉन्टेक्स्ट में चल रहा है। यह 0 पोर्ट का उपयोग कर रहा है. वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 167200 प्लगइन से कर सकता है (SUSE Enterprise Linux Security Update for xorg-x11-libs (SUSE-SU-2014:0881-1)).
इस समस्या का समाधान 1.4.7 संस्करण में अपग्रेड करने से किया जा सकता है। आप cgit.freedesktop.org से अपडेटेड वर्शन डाउनलोड कर सकते हैं। प्रभावित घटक को अपग्रेड करने की सिफारिश की जाती है। इस समस्या के समाधान के लिए निम्न कोड लाइनों को लागू किया जाएगा:
diff --git a/src/bitmap/bdfread.c b/src/bitmap/bdfread.c
index e2770dc..e11c5d2 100644
--- a/src/bitmap/bdfread.c
+++ b/src/bitmap/bdfread.c
@ -338,7 +338,7 @ bdfReadCharacters(FontFilePtr file, FontPtr pFont, bdfFileState *pState,
char charName[100];
int ignore;
- if (sscanf((char *) line, "STARTCHAR %s", charName) != 1) {
+ if (sscanf((char *) line, "STARTCHAR %99s", charName) != 1) {
bdfError("bad character name in BDF file\n");
goto BAILOUT;/ bottom of function, free and return error /
} परामर्श में निम्नलिखित टिप्पणी शामिल है:Manual inspection shows it is present in the sources from the X11R5 tarballs, but not in those from the X11R4 tarballs.
यह कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी उपलब्ध है: SecurityFocus (BID 64694), X-Force (90123), Secunia (SA56240) , Tenable (71901).
प्रभावित
- X.Org X11 तक 7.7
- X.Org libXfont 1.4.6
उत्पाद
प्रकार
विक्रेता
नाम
संस्करण
लाइसेंस
वेबसाइट
- विक्रेता: https://www.x.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB वेक्टर: 🔍VulDB विश्वसनीयता: 🔍
CVSSv3
VulDB मेटा बेस स्कोर: 10.0VulDB मेटा अस्थायी स्कोर: 9.5
VulDB मूल स्कोर: 10.0
VulDB अस्थायी स्कोर: 9.5
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | जटिलता | प्रमाणीकरण | गोपनीयता | अखंडता | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍
NVD मूल स्कोर: 🔍
शोषण
वर्ग: बफ़र ओवरफ़्लोCWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ
उपलब्धता: 🔍
स्थिति: परिभाषित नहीं
EPSS Score: 🔍
EPSS Percentile: 🔍
मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍
| 0-Day | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
|---|---|---|---|---|
| आज | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
Nessus ID: 71901
Nessus नाम: CentOS 5 / 6 : libXfont (CESA-2014:0018)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
OpenVAS ID: 702838
OpenVAS नाम: Debian Security Advisory DSA 2838-1 (libxfont - buffer overflow
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍
Qualys ID: 🔍
Qualys नाम: 🔍
खतरे की खुफिया
रुचि: 🔍सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍
प्रतिव्यवस्था
सिफारिश: अपग्रेडस्थिति: 🔍
प्रतिक्रिया समय: 🔍
0-दिवसीय समय: 🔍
उजागर समय: 🔍
अपग्रेड: X11 Server 1.4.7
समयरेखा
04/11/2013 🔍24/12/2013 🔍
07/01/2014 🔍
07/01/2014 🔍
08/01/2014 🔍
09/01/2014 🔍
09/01/2014 🔍
12/01/2014 🔍
01/05/2019 🔍
स्रोत
विक्रेता: x.orgसलाह: X.Org Security Advisory: CVE-2013-6462: Stack buffer overflow in parsing of BDF font files in libXfont
शोधकर्ता: Alan Coopersmith
स्थिति: पुष्टि की गई
पुष्टि: 🔍
CVE: CVE-2013-6462 (🔍)
GCVE (CVE): GCVE-0-2013-6462
GCVE (VulDB): GCVE-100-11777
OVAL: 🔍
IAVM: 🔍
X-Force: 90123
SecurityFocus: 64694 - X.Org libXfont BDF Font File Handling Stack Buffer Overflow Vulnerability
Secunia: 56240 - X.Org libXfont "bdfReadCharacters()" Buffer Overflow Vulnerability, Moderately Critical
OSVDB: 101842
विविध: 🔍
यह भी देखें: 🔍
प्रविष्टि
बनाया गया: 09/01/2014 01:30 PMअद्यतनित: 01/05/2019 08:48 AM
परिवर्तन: 09/01/2014 01:30 PM (95), 01/05/2019 08:48 AM (1)
पूर्ण: 🔍
Cache ID: 216::103
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.
टिप्पणी करने के लिए कृपया लॉगिन करें