Flere sårbarheder er opdaget i xpdf, en samling værktøjer til visning og konvertering af Portable Document Format-filer (PDF).
Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
Flere bufferoverløb i JBIG2-dekoderen i Xpdf 3.02pl2 og tidligere, CUPS 1.3.9 og tidligere, samt andre produkter, gjorde det muligt for fjernangribere at forårsage lammelsesangreb (crash) gennem en fabrikeret PDF-fil, i forbindelse med (1) JBIG2SymbolDict::setBitmap og (2) JBIG2Stream::readSymbolDictSeg.
Flere bufferoverløb i JBIG2-dekoderen i Xpdf 3.02pl2 og tidligere, CUPS 1.3.9 og tidligere, samt andre produkter, gjorde det muligt for fjernangribere at forårsage lammelsesangreb (crash) gennem en fabrikeret PDF-fil, i forbindelse med (1) JBIG2Stream::readSymbolDictSeg, (2) JBIG2Stream::readSymbolDictSeg og (3) JBIG2Stream::readGenericBitmap.
Heltalsoverløb i JBIG2-dekoderen i Xpdf 3.02pl2 og tidligere, anvendt i Poppler og andre produkter, når der afvikles under Mac OS X, har et uspecificeret påvirkning i forbindelse med "g*allocn."
JBIG2-dekoderen i Xpdf 3.02pl2 og tidligere, CUPS 1.3.9 og tidligere, samt andre produkter, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (crash) gennem en fabrikeret PDF-fil, der udløste en frigivelse af uinitialiseret hukommelse.
JBIG2-dekoderen i Xpdf 3.02pl2 og tidligere, CUPS 1.3.9 og tidligere, Poppler før 0.10.6, samt andre produkter, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (crash) gennem en fabrikeret PDF-fil, der udløste en læsning uden for grænserne.
Flere fejl i forbindelse med validering af inddata i JBIG2-dekoderen i Xpdf 3.02pl2 og tidligere, CUPS 1.3.9 og tidligere, Poppler før 0.10.6, samt andre produkter, gjorde det muligt for fjernangribere at udføre vilkårlig kode gennem en fabrikeret PDF-fil.
Heltalsoverløb i JBIG2-dekoderen i Xpdf 3.02pl2 og tidligere, CUPS 1.3.9 og tidligere, Poppler før 0.10.6, samt andre produkter, gjorde det muligt for fjernangribere at udføre vilkårlig kode gennem en fabrikeret PDF-fil.
JBIG2-dekoderen i Xpdf 3.02pl2 og tidligere, CUPS 1.3.9 og tidligere, Poppler før 0.10.6, samt andre produkter, gjorde det muligt for fjernangribere at udføre vilkårlig kode gennem en fabrikeret PDF-fil, der udløste en frigivelse af ugyldige data.
JBIG2-dekoderen i Xpdf 3.02pl2 og tidligere, CUPS 1.3.9 og tidligere, Poppler før 0.10.6, samt andre produkter, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (crash) gennem en fabrikeret PDF-fil, der udløste en NULL-pointer-dereference.
Flere bufferoverløb i JBIG2 MMR-dekoderen i Xpdf 3.02pl2 og tidligere, CUPS 1.3.9 og tidligere, Poppler før 0.10.6, samt andre produkter, gjorde det muligt for fjernangribere at udføre vilkårlig kode gennem en fabrikeret PDF-fil.
JBIG2 MMR-dekoderen i Xpdf 3.02pl2 og tidligere, CUPS 1.3.9 og tidligere, Poppler før 0.10.6, samt andre produkter, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (uendelig løkke) gennem en fabrikeret PDF-fil.
I den gamle stabile distribution (etch), er disse problemer rettet i version 3.01-9.1+etch6.
I den stabile distribution (lenny), er disse problemer rettet i version 3.02-1.4+lenny1.
I den ustabile distribution (sid), vil disse problemer blive rettet i en kommende version.
Vi anbefaler at du opgraderer dine xpdf-pakker.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.