Рекомендация Debian по безопасности
DSA-3655-1 mupdf -- обновление безопасности
- Дата сообщения:
- 26.08.2016
- Затронутые пакеты:
- mupdf
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 832031, Ошибка 833417.
В каталоге Mitre CVE: CVE-2016-6265, CVE-2016-6525. - Более подробная информация:
-
В MuPDF, легковесном просмотрщике PDF, были обнаружены две уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2016-6265
Марко Грасси обнаружил использование указателей после освобождения памяти в MuPDF. Злоумышленник может использовать эту уязвимость для аварийной остановки приложения (отказ в обслуживании) или потенциального выполнения произвольного кода с правами пользователя, запустившего MuPDF, в случае обработки специально сформированного файла в формате PDF.
- CVE-2016-6525
Юй Хун и Чжэн Цзихун обнаружили переполнение динамической памяти в функции pdf_load_mesh_params, позволяющее злоумышленнику аварийно завершать работу приложения (отказ в обслуживании) или потенциально выполнять произвольный код с правами пользователя, запустившего MuPDF, в случае обработки специально сформированного файла в формате PDF.
В стабильном выпуске (jessie) эти проблемы были исправлены в версии 1.5-1+deb8u1.
Рекомендуется обновить пакеты mupdf.
- CVE-2016-6265