Информация по безопасности / 2017 / Информация о безопасности -- DSA-4006-1 mupdf

Рекомендация Debian по безопасности

DSA-4006-1 mupdf -- обновление безопасности

Дата сообщения:

24.10.2017

Затронутые пакеты:

mupdf

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 877379, Ошибка 879055.
В каталоге Mitre CVE: CVE-2017-14685, CVE-2017-14686, CVE-2017-14687, CVE-2017-15587.

Более подробная информация:

В MuPDF, программе для просмотра файлов в формате PDF, были обнаружены многочисленные уязвимости, которые могут приводить к отказу в обслуживании или выполнению произвольного кода.

• CVE-2017-14685, CVE-2017-14686 и CVE-2017-14687

  Ван Лин обнаружил, что специально сформированный файл .xps может вызывать аварийную остановку MuPDF и в ряде случаев приводить к потенциальному выполнению произвольного кода, поскольку приложение без выполнения проверки предполагает использование определённого формата записей.

• CVE-2017-15587

  Терри Чиа и Джереми Хен обнаружили переполнение целых чисел, которое может вызывать выполнение произвольного кода при обработке специально сформированного файла .pdf.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 1.9a+ds1-4+deb9u1.

Рекомендуется обновить пакеты mupdf.