Информация по безопасности / 2016 / Информация о безопасности -- DSA-3655-1 mupdf

Рекомендация Debian по безопасности

DSA-3655-1 mupdf -- обновление безопасности

Дата сообщения:

26.08.2016

Затронутые пакеты:

mupdf

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 832031, Ошибка 833417.
В каталоге Mitre CVE: CVE-2016-6265, CVE-2016-6525.

Более подробная информация:

В MuPDF, легковесном просмотрщике PDF, были обнаружены две уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2016-6265

  Марко Грасси обнаружил использование указателей после освобождения памяти в MuPDF. Злоумышленник может использовать эту уязвимость для аварийной остановки приложения (отказ в обслуживании) или потенциального выполнения произвольного кода с правами пользователя, запустившего MuPDF, в случае обработки специально сформированного файла в формате PDF.

• CVE-2016-6525

  Юй Хун и Чжэн Цзихун обнаружили переполнение динамической памяти в функции pdf_load_mesh_params, позволяющее злоумышленнику аварийно завершать работу приложения (отказ в обслуживании) или потенциально выполнять произвольный код с правами пользователя, запустившего MuPDF, в случае обработки специально сформированного файла в формате PDF.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 1.5-1+deb8u1.

Рекомендуется обновить пакеты mupdf.