Debians sikkerhedsbulletin

DSA-3655-1 mupdf -- sikkerhedsopdatering

Rapporteret den:
26. aug 2016
Berørte pakker:
mupdf
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 832031, Fejl 833417.
I Mitres CVE-ordbog: CVE-2016-6265, CVE-2016-6525.
Yderligere oplysninger:

To sårbarheder blev opdaget i MuPDF, et letvægts-PDF-fremviser. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2016-6265

    Marco Grassi opdagede en sårbarhed i forbindelse med anvendelse efter frigivelse i MuPDF. En angriber kunne drage nytte af fejlen til at forårsage et applikationsnedbrud (lammelsesangreb / denial of service) eller potentielt at udføre vilkårlig kode med rettighederne hørende til brugeren, der kører MuPDF, hvis en særligt fremstillet PDF-fil blev behandlet.

  • CVE-2016-6525

    Yu Hong og Zheng Jihong opdagede en heapoverløbssårbarhed i funktionen pdf_load_mesh_params, hvilket gjorde det muligt for en angriber at forårsage et applikationsnedbrud (lammelsesangreb / denial of service) eller potentielt at udføre vilkårlig kode med rettighederne hørende til brugeren, der kører MuPDF, hvis en særligt fremstillet PDF-fil blev behandlet.

I den stabile distribution (jessie), er disse problemer rettet i version 1.5-1+deb8u1.

Vi anbefaler at du opgraderer dine mupdf-pakker.