USN-7917-1: fontTools Sicherheitslücken

USN-7917-1: fontTools Sicherheitslücken

Veröffentlichungsdatum: 9. Dezember 2025
Übersicht: Mehrere Sicherheitsprobleme wurden in fontTools behoben.

Pakete
fonttools - eine in Python geschriebene Bibliothek zur Bearbeitung von Schriftarten

Details
Es wurde entdeckt, dass das Subsetting-Modul von fontTools anfällig ist für
einen XML External Entity (XEE) Angriff. Ein nicht-authentifizierter Angreifer
Angreifer könnte dieses Problem möglicherweise ausnutzen, um beliebige Dateien aus dem Dateisystem
Dateisystem einzubinden oder Webanfragen vom Hostsystem aus zu stellen. Dieses Problem betraf nur
Ubuntu 22.04 LTS. (CVE-2023-45139)

Es wurde entdeckt, dass fontTools anfällig für Path-Traversal-Angriffe war.
Wenn ein Benutzer oder ein automatisiertes System dazu verleitet wurde, eine speziell präparierte
.designspace-Datei zu extrahieren, könnte ein Angreifer dieses Problem nutzen, um
beliebige Dateien außerhalb des Zielverzeichnisses zu schreiben, was zu entfernter
Codeausführung führen. Dieses Problem betrifft nur Ubuntu 24.04 LTS, Ubuntu 25.04
und Ubuntu 25.10. (CVE-2025-66034)

Anweisungen zur Aktualisierung
Im Allgemeinen wird ein Standard-System-Update alle notwendigen Änderungen vornehmen.
Das Problem kann behoben werden, indem Sie Ihr System auf die folgenden Paketversionen aktualisieren:

25.10 questing

• fonttools - 4.55.3-2ubuntu0.25.10.1
• python3-fonttools - 4.55.3-2ubuntu0.25.10.1

25.04 plucky

• fonttools - 4.55.3-2ubuntu0.25.04.1
• python3-fonttools - 4.55.3-2ubuntu0.25.04.1

24.04 LTS edel

• fonttools - 4.46.0-1ubuntu0.1~esm1
• python3-fonttools - 4.46.0-1ubuntu0.1~esm1

22.04 LTS jammy

• fonttools - 4.29.1-2ubuntu0.1~esm1
• python3-fonttools - 4.29.1-2ubuntu0.1~esm1