Debians sikkerhedsbulletin

DSA-1790-1 xpdf -- flere sårbarheder

Rapporteret den:
5. maj 2009
Berørte pakker:
xpdf
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 524809.
I Mitres CVE-ordbog: CVE-2009-0146, CVE-2009-0147, CVE-2009-0165, CVE-2009-0166, CVE-2009-0799, CVE-2009-0800, CVE-2009-1179, CVE-2009-1180, CVE-2009-1181, CVE-2009-1182, CVE-2009-1183.
Yderligere oplysninger:

Flere sårbarheder er opdaget i xpdf, en samling værktøjer til visning og konvertering af Portable Document Format-filer (PDF).

Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2009-0146

    Flere bufferoverløb i JBIG2-dekoderen i Xpdf 3.02pl2 og tidligere, CUPS 1.3.9 og tidligere, samt andre produkter, gjorde det muligt for fjernangribere at forårsage lammelsesangreb (crash) gennem en fabrikeret PDF-fil, i forbindelse med (1) JBIG2SymbolDict::setBitmap og (2) JBIG2Stream::readSymbolDictSeg.

  • CVE-2009-0147

    Flere bufferoverløb i JBIG2-dekoderen i Xpdf 3.02pl2 og tidligere, CUPS 1.3.9 og tidligere, samt andre produkter, gjorde det muligt for fjernangribere at forårsage lammelsesangreb (crash) gennem en fabrikeret PDF-fil, i forbindelse med (1) JBIG2Stream::readSymbolDictSeg, (2) JBIG2Stream::readSymbolDictSeg og (3) JBIG2Stream::readGenericBitmap.

  • CVE-2009-0165

    Heltalsoverløb i JBIG2-dekoderen i Xpdf 3.02pl2 og tidligere, anvendt i Poppler og andre produkter, når der afvikles under Mac OS X, har et uspecificeret påvirkning i forbindelse med "g*allocn."

  • CVE-2009-0166

    JBIG2-dekoderen i Xpdf 3.02pl2 og tidligere, CUPS 1.3.9 og tidligere, samt andre produkter, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (crash) gennem en fabrikeret PDF-fil, der udløste en frigivelse af uinitialiseret hukommelse.

  • CVE-2009-0799

    JBIG2-dekoderen i Xpdf 3.02pl2 og tidligere, CUPS 1.3.9 og tidligere, Poppler før 0.10.6, samt andre produkter, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (crash) gennem en fabrikeret PDF-fil, der udløste en læsning uden for grænserne.

  • CVE-2009-0800

    Flere fejl i forbindelse med validering af inddata i JBIG2-dekoderen i Xpdf 3.02pl2 og tidligere, CUPS 1.3.9 og tidligere, Poppler før 0.10.6, samt andre produkter, gjorde det muligt for fjernangribere at udføre vilkårlig kode gennem en fabrikeret PDF-fil.

  • CVE-2009-1179

    Heltalsoverløb i JBIG2-dekoderen i Xpdf 3.02pl2 og tidligere, CUPS 1.3.9 og tidligere, Poppler før 0.10.6, samt andre produkter, gjorde det muligt for fjernangribere at udføre vilkårlig kode gennem en fabrikeret PDF-fil.

  • CVE-2009-1180

    JBIG2-dekoderen i Xpdf 3.02pl2 og tidligere, CUPS 1.3.9 og tidligere, Poppler før 0.10.6, samt andre produkter, gjorde det muligt for fjernangribere at udføre vilkårlig kode gennem en fabrikeret PDF-fil, der udløste en frigivelse af ugyldige data.

  • CVE-2009-1181

    JBIG2-dekoderen i Xpdf 3.02pl2 og tidligere, CUPS 1.3.9 og tidligere, Poppler før 0.10.6, samt andre produkter, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (crash) gennem en fabrikeret PDF-fil, der udløste en NULL-pointer-dereference.

  • CVE-2009-1182

    Flere bufferoverløb i JBIG2 MMR-dekoderen i Xpdf 3.02pl2 og tidligere, CUPS 1.3.9 og tidligere, Poppler før 0.10.6, samt andre produkter, gjorde det muligt for fjernangribere at udføre vilkårlig kode gennem en fabrikeret PDF-fil.

  • CVE-2009-1183

    JBIG2 MMR-dekoderen i Xpdf 3.02pl2 og tidligere, CUPS 1.3.9 og tidligere, Poppler før 0.10.6, samt andre produkter, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (uendelig løkke) gennem en fabrikeret PDF-fil.

I den gamle stabile distribution (etch), er disse problemer rettet i version 3.01-9.1+etch6.

I den stabile distribution (lenny), er disse problemer rettet i version 3.02-1.4+lenny1.

I den ustabile distribution (sid), vil disse problemer blive rettet i en kommende version.

Vi anbefaler at du opgraderer dine xpdf-pakker.

Rettet i:

Debian GNU/Linux 4.0 (etch)

Kildekode:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01-9.1+etch6.dsc
http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01-9.1+etch6.diff.gz
http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01.orig.tar.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-common_3.01-9.1+etch6_all.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01-9.1+etch6_all.deb
Alpha:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_alpha.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_amd64.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_arm.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_hppa.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_i386.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_ia64.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_ia64.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_mipsel.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_powerpc.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_s390.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_sparc.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_sparc.deb

Debian GNU/Linux 5.0 (lenny)

Kildekode:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.02-1.4+lenny1.dsc
http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.02.orig.tar.gz
http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.02-1.4+lenny1.diff.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-common_3.02-1.4+lenny1_all.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.02-1.4+lenny1_all.deb
Alpha:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_alpha.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_amd64.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_arm.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_arm.deb
ARM EABI:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_armel.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_armel.deb
HP Precision:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_hppa.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_i386.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_ia64.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_mips.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_mipsel.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_powerpc.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_s390.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_sparc.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.