Säkerhetsbulletin från Debian

DSA-1790-1 xpdf -- flera sårbarheter

Rapporterat den:
2009-05-05
Berörda paket:
xpdf
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 524809.
I Mitres CVE-förteckning: CVE-2009-0146, CVE-2009-0147, CVE-2009-0165, CVE-2009-0166, CVE-2009-0799, CVE-2009-0800, CVE-2009-1179, CVE-2009-1180, CVE-2009-1181, CVE-2009-1182, CVE-2009-1183.
Ytterligare information:

Flera sårbarheter har identifierats i xpdf, en verktygssvit för visning och konvertering av PDF-filer (Portable Document Format).

Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2009-0146

    Flera buffertspill i JBIG2-avkodaren i Xpdf 3.02pl2 och tidigare, CUPS 1.3.9 och tidigare, samt andra produkter som tillåter angripare utifrån att orsaka en överbelastning (krasch) med hjälp av en specialskriven PDF-fil, relaterad till (1) JBIG2SymbolDict::setBitmap och (2) JBIG2Stream::readSymbolDictSeg.

  • CVE-2009-0147

    Flera heltalsspill i JBIG2-avkodaren i Xpdf 3.02pl2 och tidigare, CUPS 1.3.9 och tidigare, samt andra produkter tillåter angripare utifrån att orsaka en överbelastning (krasch) med hjälp av en specialskriven PDF-fil, relaterad till (1) JBIG2Stream::readSymbolDictSeg, (2) JBIG2Stream::readSymbolDictSeg och (3) JBIG2Stream::readGenericBitmap.

  • CVE-2009-0165

    Heltalsspill i JBIG2-avkodaren i Xpdf 3.02pl2 och tidigare, som används i Poppler och andra produkter har, vid körning på Mac OS X, ospecificerad påverkan, relaterad till "g*allocn."

  • CVE-2009-0166

    JBIG2-avkodaren i Xpdf 3.02pl2 och tidigare, CUPS 1.3.9 och tidigare, samt andra produkter tillåter angripare utifrån att orsaka en överbelastning (krasch) med hjälp av en specialskriven PDF-fil som startar ett frisläppande av oinitialiserad minne.

  • CVE-2009-0799

    JBIG2-avkodaren i Xpdf 3.02pl2 och tidigare, CUPS 1.3.9 och tidigare, Poppler före 0.10.6, samt andra produkter tillåter angripare utifrån att orsaka en överbelastning (krasch) med hjälp av en specialskriven PDF-fil som startar en läsning utanför gränsen.

  • CVE-2009-0800

    Flera indatavalideringsbrister i JBIG2-avkodaren i Xpdf 3.02pl2 och tidigare, CUPS 1.3.9 och tidigare, Poppler före 0.10.6, samt andra produkter tillåter angripare utifrån att exekvera godtycklig kod med hjälp av en specialskriven PDF-fil.

  • CVE-2009-1179

    Heltalsspill i JBIG2-avkodaren i Xpdf 3.02pl2 och tidigare, CUPS 1.3.9 och tidigare, Poppler före 0.10.6, samt andra produkter tillåter angripare utifrån att exekvera godtycklig kod med hjälp av en specialskriven PDF-fil.

  • CVE-2009-1180

    JBIG2-avkodaren i Xpdf 3.02pl2 och tidigare, CUPS 1.3.9 och tidigare, Poppler före 0.10.6, samt andra produkter tillåter angripare utifrån att exekvera godtycklig kod med hjälp av en specialskriven PDF-fil som startar frisläppande av ogiltig data.

  • CVE-2009-1181

    JBIG2-avkodaren i Xpdf 3.02pl2 och tidigare, CUPS 1.3.9 och tidigare, Poppler före 0.10.6, samt andra produkter tillåter angripare utifrån att orsaka en överbelastning (krasch) med hjälp av en specialskriven PDF-fil som startar en NULL-pekaravreferering.

  • CVE-2009-1182

    Flera buffertspill i JBIG2 MMR-avkodaren i Xpdf 3.02pl2 och tidigare, CUPS 1.3.9 och tidigare, Poppler before 0.10.6, samt andra produkter tillåter angripare utifrån att exekvera godtycklig kod med hjälp av en specialskriven PDF-fil.

  • CVE-2009-1183

    JBIG2 MMR-avkodaren i Xpdf 3.02pl2 och tidigare, CUPS 1.3.9 och tidigare, Poppler före 0.10.6, samt andra produkter tillåter angripare utifrån att orsaka en överbelastning (oändlig slinga och hängning) med hjälp av en specialskriven PDF-fil.

För den gamla stabila utgåvan (Etch) har dessa problem rättats i version 3.01-9.1+etch6.

För den stabila utgåvan (Lenny) har dessa problem rättats i version 3.02-1.4+lenny1.

För den instabila utgåvan (Sid) kommer dessa problem att rättas i en kommande version.

Vi rekommenderar att ni uppgraderar era xpdf-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01-9.1+etch6.dsc
http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01-9.1+etch6.diff.gz
http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01.orig.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-common_3.01-9.1+etch6_all.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01-9.1+etch6_all.deb
Alpha:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_alpha.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_amd64.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_arm.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_hppa.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_i386.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_ia64.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_ia64.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_mipsel.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_powerpc.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_s390.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_sparc.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_sparc.deb

Debian GNU/Linux 5.0 (lenny)

Källkod:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.02-1.4+lenny1.dsc
http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.02.orig.tar.gz
http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.02-1.4+lenny1.diff.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-common_3.02-1.4+lenny1_all.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.02-1.4+lenny1_all.deb
Alpha:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_alpha.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_amd64.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_arm.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_arm.deb
ARM EABI:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_armel.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_armel.deb
HP Precision:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_hppa.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_i386.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_ia64.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_mips.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_mipsel.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_powerpc.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_s390.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_sparc.deb
http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.