Bulletin d'alerte Debian
DSA-1790-1 xpdf -- Plusieurs vulnérabilités
- Date du rapport :
- 5 mai 2009
- Paquets concernés :
- xpdf
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 524809.
Dans le dictionnaire CVE du Mitre : CVE-2009-0146, CVE-2009-0147, CVE-2009-0165, CVE-2009-0166, CVE-2009-0799, CVE-2009-0800, CVE-2009-1179, CVE-2009-1180, CVE-2009-1181, CVE-2009-1182, CVE-2009-1183. - Plus de précisions :
-
Plusieurs vulnérabilités ont été identifiées dans Xpdf, un ensemble d'outils pour afficher et convertir les fichiers Portable Document Format (PDF).
Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2009-0146
Plusieurs dépassements de tampon dans le décodeur JBIG2 de Xpdf 3.02pl2 et versions précédentes, CUPS 1.3.9 et versions précédentes, et d'autres produits permettent aux attaquants distants de provoquer un déni de service (plantage) à l'aide d'un fichier PDF contrefait, en lien avec (1) JBIG2SymbolDict::setBitmap et (2) JBIG2Stream::readSymbolDictSeg.
- CVE-2009-0147
Plusieurs dépassements d'entier dans le décodeur JBIG2 de Xpdf 3.02pl2 et versions précédentes, CUPS 1.3.9 et versions précédentes, et d'autres produits permettent aux attaquants distants de provoquer un déni de service (plantage) à l'aide d'un fichier PDF contrefait, en lien avec (1) JBIG2Stream::readSymbolDictSeg, (2) JBIG2Stream::readSymbolDictSeg et (3) JBIG2Stream::readGenericBitmap.
- CVE-2009-0165
Un dépassement d'entier dans le décodeur JBIG2 de Xpdf 3.02pl2 et versions précédentes, tel qu'utilisé dans Poppler et d'autres produits, quand il est exécuté sous Mac OS X, a des conséquence indéterminées, en lien avec
*allocn
. - CVE-2009-0166
Le décodeur JBIG2 de Xpdf 3.02pl2 et versions précédentes, CUPS 1.3.9 et versions précédentes, et d'autres produits permet aux attaquants distants de provoquer un déni de service (plantage) à l'aide d'un fichier PDF contrefait qui déclenche une libération de mémoire non initialisée.
- CVE-2009-0799
Le décodeur JBIG2 de Xpdf 3.02pl2 et versions précédentes, CUPS 1.3.9 et versions précédentes, Poppler avant la version 0.10.6, et d'autres produits permet aux attaquants distants de provoquer un déni de service (plantage) à l'aide d'un fichier PDF contrefait qui déclenche une lecture hors limites.
- CVE-2009-0800
Plusieurs
défauts de validation d'entrée
dans le décodeur JBIG2 de Xpdf 3.02pl2 et versions précédentes, CUPS 1.3.9 et versions précédentes, Poppler avant la version 0.10.6, et d'autres produits permettent aux attaquants distants d'exécuter du code arbitraire à l'aide d'un fichier PDF contrefait. - CVE-2009-1179
Un dépassement d'entier dans le décodeur JBIG2 de Xpdf 3.02pl2 et versions précédentes, CUPS 1.3.9 et versions précédentes, Poppler avant la version 0.10.6, et d'autres produits permet aux attaquants distants d'exécuter du code arbitraire à l'aide d'un fichier PDF contrefait.
- CVE-2009-1180
Le décodeur JBIG2 de Xpdf 3.02pl2 et versions précédentes, CUPS 1.3.9 et versions précédentes, Poppler avant la version 0.10.6, et d'autres produits permet aux attaquants distants d'exécuter du code arbitraire à l'aide d'un fichier PDF contrefait qui déclenche une libération de données non valables.
- CVE-2009-1181
Le décodeur JBIG2 de Xpdf 3.02pl2 et versions précédentes, CUPS 1.3.9 et versions précédentes, Poppler avant la version 0.10.6, et d'autres produits permet aux attaquants distants d'exécuter du code arbitraire à l'aide d'un fichier PDF contrefait qui déclenche un déréférencement de pointeur NULL.
- CVE-2009-1182
Plusieurs dépassements de tampon dans le décodeur JBIG2 MMR de Xpdf 3.02pl2 et versions précédentes, CUPS 1.3.9 et versions précédentes, Poppler avant la version 0.10.6, et d'autres produits permettent aux attaquants distants d'exécuter du code arbitraire à l'aide d'un fichier PDF contrefait.
- CVE-2009-1183
Le décodeur JBIG2 MMR de Xpdf 3.02pl2 et versions précédentes, CUPS 1.3.9 et versions précédentes, Poppler avant la version 0.10.6, et d'autres produits permet aux attaquants distants de provoquer un déni de service (boucle infinie et suspension d'application) à l'aide d'un fichier PDF contrefait.
Pour l'ancienne distribution stable (Etch), ces problèmes ont été corrigés dans la version 3.01-9.1+etch6.
Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 3.02-1.4+lenny1.
Pour la distribution unstable (Sid), ces problèmes seront corrigés dans une future version.
Nous vous recommandons de mettre à jour vos paquets xpdf.
- CVE-2009-0146
- Corrigé dans :
-
Debian GNU/Linux 4.0 (etch)
- Source :
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01-9.1+etch6.dsc
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01-9.1+etch6.diff.gz
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01.orig.tar.gz
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01-9.1+etch6.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-common_3.01-9.1+etch6_all.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01-9.1+etch6_all.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01-9.1+etch6_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_alpha.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_alpha.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_amd64.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_amd64.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_arm.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_arm.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_hppa.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_hppa.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_i386.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_i386.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_ia64.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_ia64.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_ia64.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_mipsel.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_mipsel.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_s390.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_s390.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_sparc.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_sparc.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_sparc.deb
Debian GNU/Linux 5.0 (lenny)
- Source :
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.02-1.4+lenny1.dsc
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.02.orig.tar.gz
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.02-1.4+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.02.orig.tar.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-common_3.02-1.4+lenny1_all.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.02-1.4+lenny1_all.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.02-1.4+lenny1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_arm.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_arm.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_arm.deb
- ARM EABI:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_armel.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_armel.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_armel.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_hppa.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_hppa.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_i386.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_i386.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_mips.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_mips.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_mipsel.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_mipsel.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_s390.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_s390.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.