Рекомендация Debian по безопасности

DSA-3655-1 mupdf -- обновление безопасности

Дата сообщения:
26.08.2016
Затронутые пакеты:
mupdf
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 832031, Ошибка 833417.
В каталоге Mitre CVE: CVE-2016-6265, CVE-2016-6525.
Более подробная информация:

В MuPDF, легковесном просмотрщике PDF, были обнаружены две уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2016-6265

    Марко Грасси обнаружил использование указателей после освобождения памяти в MuPDF. Злоумышленник может использовать эту уязвимость для аварийной остановки приложения (отказ в обслуживании) или потенциального выполнения произвольного кода с правами пользователя, запустившего MuPDF, в случае обработки специально сформированного файла в формате PDF.

  • CVE-2016-6525

    Юй Хун и Чжэн Цзихун обнаружили переполнение динамической памяти в функции pdf_load_mesh_params, позволяющее злоумышленнику аварийно завершать работу приложения (отказ в обслуживании) или потенциально выполнять произвольный код с правами пользователя, запустившего MuPDF, в случае обработки специально сформированного файла в формате PDF.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 1.5-1+deb8u1.

Рекомендуется обновить пакеты mupdf.