Säkerhetsbulletin från Debian
DSA-1790-1 xpdf -- flera sårbarheter
- Rapporterat den:
- 2009-05-05
- Berörda paket:
- xpdf
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 524809.
I Mitres CVE-förteckning: CVE-2009-0146, CVE-2009-0147, CVE-2009-0165, CVE-2009-0166, CVE-2009-0799, CVE-2009-0800, CVE-2009-1179, CVE-2009-1180, CVE-2009-1181, CVE-2009-1182, CVE-2009-1183. - Ytterligare information:
-
Flera sårbarheter har identifierats i xpdf, en verktygssvit för visning och konvertering av PDF-filer (Portable Document Format).
Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2009-0146
Flera buffertspill i JBIG2-avkodaren i Xpdf 3.02pl2 och tidigare, CUPS 1.3.9 och tidigare, samt andra produkter som tillåter angripare utifrån att orsaka en överbelastning (krasch) med hjälp av en specialskriven PDF-fil, relaterad till (1) JBIG2SymbolDict::setBitmap och (2) JBIG2Stream::readSymbolDictSeg.
- CVE-2009-0147
Flera heltalsspill i JBIG2-avkodaren i Xpdf 3.02pl2 och tidigare, CUPS 1.3.9 och tidigare, samt andra produkter tillåter angripare utifrån att orsaka en överbelastning (krasch) med hjälp av en specialskriven PDF-fil, relaterad till (1) JBIG2Stream::readSymbolDictSeg, (2) JBIG2Stream::readSymbolDictSeg och (3) JBIG2Stream::readGenericBitmap.
- CVE-2009-0165
Heltalsspill i JBIG2-avkodaren i Xpdf 3.02pl2 och tidigare, som används i Poppler och andra produkter har, vid körning på Mac OS X, ospecificerad påverkan, relaterad till "g*allocn."
- CVE-2009-0166
JBIG2-avkodaren i Xpdf 3.02pl2 och tidigare, CUPS 1.3.9 och tidigare, samt andra produkter tillåter angripare utifrån att orsaka en överbelastning (krasch) med hjälp av en specialskriven PDF-fil som startar ett frisläppande av oinitialiserad minne.
- CVE-2009-0799
JBIG2-avkodaren i Xpdf 3.02pl2 och tidigare, CUPS 1.3.9 och tidigare, Poppler före 0.10.6, samt andra produkter tillåter angripare utifrån att orsaka en överbelastning (krasch) med hjälp av en specialskriven PDF-fil som startar en läsning utanför gränsen.
- CVE-2009-0800
Flera
indatavalideringsbrister
i JBIG2-avkodaren i Xpdf 3.02pl2 och tidigare, CUPS 1.3.9 och tidigare, Poppler före 0.10.6, samt andra produkter tillåter angripare utifrån att exekvera godtycklig kod med hjälp av en specialskriven PDF-fil. - CVE-2009-1179
Heltalsspill i JBIG2-avkodaren i Xpdf 3.02pl2 och tidigare, CUPS 1.3.9 och tidigare, Poppler före 0.10.6, samt andra produkter tillåter angripare utifrån att exekvera godtycklig kod med hjälp av en specialskriven PDF-fil.
- CVE-2009-1180
JBIG2-avkodaren i Xpdf 3.02pl2 och tidigare, CUPS 1.3.9 och tidigare, Poppler före 0.10.6, samt andra produkter tillåter angripare utifrån att exekvera godtycklig kod med hjälp av en specialskriven PDF-fil som startar frisläppande av ogiltig data.
- CVE-2009-1181
JBIG2-avkodaren i Xpdf 3.02pl2 och tidigare, CUPS 1.3.9 och tidigare, Poppler före 0.10.6, samt andra produkter tillåter angripare utifrån att orsaka en överbelastning (krasch) med hjälp av en specialskriven PDF-fil som startar en NULL-pekaravreferering.
- CVE-2009-1182
Flera buffertspill i JBIG2 MMR-avkodaren i Xpdf 3.02pl2 och tidigare, CUPS 1.3.9 och tidigare, Poppler before 0.10.6, samt andra produkter tillåter angripare utifrån att exekvera godtycklig kod med hjälp av en specialskriven PDF-fil.
- CVE-2009-1183
JBIG2 MMR-avkodaren i Xpdf 3.02pl2 och tidigare, CUPS 1.3.9 och tidigare, Poppler före 0.10.6, samt andra produkter tillåter angripare utifrån att orsaka en överbelastning (oändlig slinga och hängning) med hjälp av en specialskriven PDF-fil.
För den gamla stabila utgåvan (Etch) har dessa problem rättats i version 3.01-9.1+etch6.
För den stabila utgåvan (Lenny) har dessa problem rättats i version 3.02-1.4+lenny1.
För den instabila utgåvan (Sid) kommer dessa problem att rättas i en kommande version.
Vi rekommenderar att ni uppgraderar era xpdf-paket.
- CVE-2009-0146
- Rättat i:
-
Debian GNU/Linux 4.0 (etch)
- Källkod:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01-9.1+etch6.dsc
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01-9.1+etch6.diff.gz
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01.orig.tar.gz
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01-9.1+etch6.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-common_3.01-9.1+etch6_all.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01-9.1+etch6_all.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.01-9.1+etch6_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_alpha.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_alpha.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_amd64.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_amd64.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_arm.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_arm.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_hppa.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_hppa.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_i386.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_i386.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_ia64.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_ia64.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_ia64.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_mipsel.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_mipsel.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_s390.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_s390.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.01-9.1+etch6_sparc.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_sparc.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.01-9.1+etch6_sparc.deb
Debian GNU/Linux 5.0 (lenny)
- Källkod:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.02-1.4+lenny1.dsc
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.02.orig.tar.gz
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.02-1.4+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.02.orig.tar.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-common_3.02-1.4+lenny1_all.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.02-1.4+lenny1_all.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf_3.02-1.4+lenny1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_arm.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_arm.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_arm.deb
- ARM EABI:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_armel.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_armel.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_armel.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_hppa.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_hppa.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_i386.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_i386.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_mips.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_mips.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_mipsel.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_mipsel.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_s390.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_s390.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-reader_3.02-1.4+lenny1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xpdf/xpdf-utils_3.02-1.4+lenny1_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.