Bulletin d'alerte Debian

DSA-1537-1 xpdf -- Plusieurs vulnérabilités

Date du rapport :

2 avril 2008

Paquets concernés :

xpdf

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2007-4352, CVE-2007-5392, CVE-2007-5393.

Plus de précisions :

Alin Rad Pop (de Secunia) a découvert un certain nombre de vulnérabilités dans xpdf, un ensemble d'outils pour afficher et convertir des fichiers au format de documents portable (PDF). Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :

CVE-2007-4352
La validation inadéquate du flux DCT permet à un attaquant de corrompre de la mémoire et peut-être d'exécuter du code arbitraire en fournissant un fichier PDF conçu de manière malveillante.
CVE-2007-5392
Une vulnérabilité de débordement d'entier dans la gestion des flux DCT peut permettre à un attaquant de faire déborder une zone de mémoire tampon du système. Cela permet l'exécution de code arbitraire.
CVE-2007-5393
Une vulnérabilité de débordement de mémoire tampon dans les gestionnaires de compression d'images CCITT de xpdf permet un débordement de zone de mémoire du système. Cela permet à un attaquant d'exécuter un code arbitraire en fournissant un filtre CCITTFaxDecode conçu de manière malveillante.

Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 3.01-9.1+etch2.

Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 3.02-1.3.

Nous vous recommandons de mettre à jour vos paquets xpdf.

Corrigé dans :

Debian GNU/Linux 4.0 (etch)

Source :: http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01-9.1+etch2.diff.gz; http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01-9.1+etch2.dsc; http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01.orig.tar.gz
Composant indépendant de l'architecture :: http://security.debian.org/pool/updates/main/x/xpdf/xpdf-common_3.01-9.1+etch2_all.deb; http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01-9.1+etch2_all.deb
AMD64:: http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch2_amd64.deb; http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch2_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch2_arm.deb; http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch2_arm.deb
HP Precision:: http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch2_hppa.deb; http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch2_hppa.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch2_i386.deb; http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch2_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch2_ia64.deb; http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch2_ia64.deb
Big-endian MIPS:: http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch2_mips.deb; http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch2_mips.deb
Little-endian MIPS:: http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch2_mipsel.deb; http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch2_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch2_powerpc.deb; http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch2_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch2_s390.deb; http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch2_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch2_sparc.deb; http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch2_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.