Bulletin d'alerte Debian

DSA-1548-1 xpdf -- Plusieurs vulnérabilités

Date du rapport :
17 avril 2008
Paquets concernés :
xpdf
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2008-1693.
Plus de précisions :

Kees Cook a découvert une vulnérabilité dans xpdf, un ensemble d'outils pour afficher et convertir des fichiers au format de documents portable (PDF). Le projet des expositions et vulnérabilités communes (CVE) identifie le problème suivant :

  • CVE-2008-1693

    La gestion par xpdf des polices de caractères embarquées manque de validation suffisante et de vérification de type. Si un fichier PDF conçu de manière malveillante est ouvert, cette vulnérabilité peut permettre l'exécution de code arbitraire avec les privilèges de l'utilisateur de xpdf.

Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 3.01-9.1+etch4.

Pour la distribution instable(Sid), ces problèmes ont été corrigés dans la version 3.02-1.2.

Nous vous recommandons de mettre à jour votre paquet xpdf.

Corrigé dans :

Debian GNU/Linux 4.0 (etch)

Source :
http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01-9.1+etch4.dsc
http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01-9.1+etch4.diff.gz
http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01-9.1+etch4_all.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-common_3.01-9.1+etch4_all.deb
Alpha:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch4_alpha.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch4_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch4_amd64.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch4_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch4_arm.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch4_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch4_hppa.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch4_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch4_i386.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch4_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch4_ia64.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch4_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch4_mips.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch4_mips.deb
PowerPC:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch4_powerpc.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch4_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch4_s390.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch4_s390.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.