Säkerhetsbulletin från Debian

DSA-3655-1 mupdf -- säkerhetsuppdatering

Rapporterat den:
2016-08-26
Berörda paket:
mupdf
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 832031, Fel 833417.
I Mitres CVE-förteckning: CVE-2016-6265, CVE-2016-6525.
Ytterligare information:

Två sårbarheter upptäcktes i MuPDF, en lättviktig PDF-visare. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2016-6265

    Marco Grassi upptäckte en användning efter frigörnings-sårbarhet i MuPDF. En angripare kan dra fördel av denna brist för att orsaka en applikationskrasch (överbelastning), eller potentiellt köra godtycklig kod med samma rättigheter som användaren som kör MuPDF, om en speciellt skapad PDF-fil behandlas.

  • CVE-2016-6525

    Yu Hong och Zheng Jihong upptäckte en heapbaserat bufferspillssårbarhet i funktionen pdf_load_mesh_params, vilket tillåter en angripare att orsaka en applikationskrasch (överbelastning), eller potentiellt körning av godtycklig kod med samma rättigheter som användaren som kör MuPDF, om en speciellt skapad PDF-fil behandlas.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 1.5-1+deb8u1.

Vi rekommenderar att ni uppgraderar era mupdf-paket.