FreeBSD: libX11 -- 複数の脆弱性（fe99d3ca-a63a-11e8-a7c6-54e1ad3d6335）

critical Nessus プラグイン ID 112074

Language:

概要

リモートのFreeBSDホストに、セキュリティ関連の更新プログラムがありません。

説明

freedesktop.orgプロジェクトによる報告：

関数XGetFontPath、XListExtensions、およびXListFontsは、悪意のあるサーバー応答のoff-by-oneオーバーライドに対して脆弱です。
サーバー応答は、長さバイトとそれに続く実際の文字列で構成されるチャンクで構成されます。これは、NUL終端ではありません。応答の解析中、長さバイトは「\0」でオーバーライドされるため、メモリ領域は後でC文字列のストレージとして使用できます。最後の文字列をNUL終端できるようにするために、バッファは追加のスペースで予約されています。境界チェックのために、chが最初に指し示すバッファの終端を指す変数chend（end of ch）が導入されました。残念ながら、「the end of ch」の処理に違いがあります。chendは、書き込まれてはならない最初のバイトを指し示していますが、forループは、書き込み可能な最後のバイトとしてchendを使用します。このため、off-by-oneが発生する可能性があります。

長さの値は、多くのシステムで符号付きcharとして解釈されます（charのデフォルトの符号に依存）。これにより、割り当てられたストレージの前で最大128バイトの境界外書き込みが発生する可能性がありますが、NULバイトに制限されます。

最初の文字列でさえも転送済みバイトをオーバーフローさせる応答をサーバーが送信すると、list[0]（またはflist[0]）がNULLに設定され、カウント0が返されます。結果のリストが後でXFreeExtensionListまたはXFreeFontPathで解放されると、最初のXfree呼び出しがXfree（NULL-1）に変換され、セグメンテーション違反が発生する可能性が高くなります。長さの値を符号なしcharにキャストすると、この問題が修正され、最大255文字の文字列値が許可されます。