Debians sikkerhedsbulletin
DSA-1790-1 xpdf -- flere sårbarheder
- Rapporteret den:
- 5. maj 2009
- Berørte pakker:
- xpdf
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 524809.
I Mitres CVE-ordbog: CVE-2009-0146, CVE-2009-0147, CVE-2009-0165, CVE-2009-0166, CVE-2009-0799, CVE-2009-0800, CVE-2009-1179, CVE-2009-1180, CVE-2009-1181, CVE-2009-1182, CVE-2009-1183. - Yderligere oplysninger:
-
Flere sårbarheder er opdaget i xpdf, en samling værktøjer til visning og konvertering af Portable Document Format-filer (PDF).
Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2009-0146
Flere bufferoverløb i JBIG2-dekoderen i Xpdf 3.02pl2 og tidligere, CUPS 1.3.9 og tidligere, samt andre produkter, gjorde det muligt for fjernangribere at forårsage lammelsesangreb (crash) gennem en fabrikeret PDF-fil, i forbindelse med (1) JBIG2SymbolDict::setBitmap og (2) JBIG2Stream::readSymbolDictSeg.
- CVE-2009-0147
Flere bufferoverløb i JBIG2-dekoderen i Xpdf 3.02pl2 og tidligere, CUPS 1.3.9 og tidligere, samt andre produkter, gjorde det muligt for fjernangribere at forårsage lammelsesangreb (crash) gennem en fabrikeret PDF-fil, i forbindelse med (1) JBIG2Stream::readSymbolDictSeg, (2) JBIG2Stream::readSymbolDictSeg og (3) JBIG2Stream::readGenericBitmap.
- CVE-2009-0165
Heltalsoverløb i JBIG2-dekoderen i Xpdf 3.02pl2 og tidligere, anvendt i Poppler og andre produkter, når der afvikles under Mac OS X, har et uspecificeret påvirkning i forbindelse med "g*allocn."
- CVE-2009-0166
JBIG2-dekoderen i Xpdf 3.02pl2 og tidligere, CUPS 1.3.9 og tidligere, samt andre produkter, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (crash) gennem en fabrikeret PDF-fil, der udløste en frigivelse af uinitialiseret hukommelse.
- CVE-2009-0799
JBIG2-dekoderen i Xpdf 3.02pl2 og tidligere, CUPS 1.3.9 og tidligere, Poppler før 0.10.6, samt andre produkter, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (crash) gennem en fabrikeret PDF-fil, der udløste en læsning uden for grænserne.
- CVE-2009-0800
Flere fejl i forbindelse med validering af inddata i JBIG2-dekoderen i Xpdf 3.02pl2 og tidligere, CUPS 1.3.9 og tidligere, Poppler før 0.10.6, samt andre produkter, gjorde det muligt for fjernangribere at udføre vilkårlig kode gennem en fabrikeret PDF-fil.
- CVE-2009-1179
Heltalsoverløb i JBIG2-dekoderen i Xpdf 3.02pl2 og tidligere, CUPS 1.3.9 og tidligere, Poppler før 0.10.6, samt andre produkter, gjorde det muligt for fjernangribere at udføre vilkårlig kode gennem en fabrikeret PDF-fil.
- CVE-2009-1180
JBIG2-dekoderen i Xpdf 3.02pl2 og tidligere, CUPS 1.3.9 og tidligere, Poppler før 0.10.6, samt andre produkter, gjorde det muligt for fjernangribere at udføre vilkårlig kode gennem en fabrikeret PDF-fil, der udløste en frigivelse af ugyldige data.
- CVE-2009-1181
JBIG2-dekoderen i Xpdf 3.02pl2 og tidligere, CUPS 1.3.9 og tidligere, Poppler før 0.10.6, samt andre produkter, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (crash) gennem en fabrikeret PDF-fil, der udløste en NULL-pointer-dereference.
- CVE-2009-1182
Flere bufferoverløb i JBIG2 MMR-dekoderen i Xpdf 3.02pl2 og tidligere, CUPS 1.3.9 og tidligere, Poppler før 0.10.6, samt andre produkter, gjorde det muligt for fjernangribere at udføre vilkårlig kode gennem en fabrikeret PDF-fil.
- CVE-2009-1183
JBIG2 MMR-dekoderen i Xpdf 3.02pl2 og tidligere, CUPS 1.3.9 og tidligere, Poppler før 0.10.6, samt andre produkter, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (uendelig løkke) gennem en fabrikeret PDF-fil.
I den gamle stabile distribution (etch), er disse problemer rettet i version 3.01-9.1+etch6.
I den stabile distribution (lenny), er disse problemer rettet i version 3.02-1.4+lenny1.
I den ustabile distribution (sid), vil disse problemer blive rettet i en kommende version.
Vi anbefaler at du opgraderer dine xpdf-pakker.
- CVE-2009-0146
- Rettet i:
-
Debian GNU/Linux 4.0 (etch)
- Kildekode:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01-9.1+etch6.dsc
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01-9.1+etch6.diff.gz
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01.orig.tar.gz
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01-9.1+etch6.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-common_3.01-9.1+etch6_all.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01-9.1+etch6_all.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01-9.1+etch6_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_alpha.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_alpha.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_amd64.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_amd64.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_arm.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_arm.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_hppa.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_hppa.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_i386.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_i386.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_ia64.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_ia64.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_ia64.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_mipsel.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_mipsel.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_s390.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_s390.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_sparc.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_sparc.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_sparc.deb
Debian GNU/Linux 5.0 (lenny)
- Kildekode:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.02-1.4+lenny1.dsc
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.02.orig.tar.gz
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.02-1.4+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.02.orig.tar.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-common_3.02-1.4+lenny1_all.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.02-1.4+lenny1_all.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.02-1.4+lenny1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_arm.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_arm.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_arm.deb
- ARM EABI:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_armel.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_armel.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_armel.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_hppa.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_hppa.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_i386.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_i386.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_mips.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_mips.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_mipsel.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_mipsel.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_s390.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_s390.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_sparc.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.