poppler-0.5.4-4.4.9.1AXS3

エラータID: AXSA:2009-56:01

リリース日: 
2009/05/27 Wednesday - 12:56
題名: 
poppler-0.5.4-4.4.9.1AXS3
影響のあるチャネル: 
Asianux Server 3 for x86
Asianux Server 3 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- poppler の JBIG2 デコーダには複数のバッファオーバーフローが存在し、リモートの攻撃者が巧妙に作られた PDFファイルによってサービス拒否 (クラッシュ) を引き起こす脆弱性があります。(CVE-2009-0146, CVE-2009-0166, CVE-2009-0799)

- poppler の JBIG2 デコーダには複数の整数オーバーフローが存在し、リモートの攻撃者が巧妙に作られた PDFファイルによってサービス拒否 (クラッシュ) を引き起こす脆弱性があります。(CVE-2009-0147)

- poppler にはヒープベースバッファオーバーフローが存在し、リモートの攻撃者が巧妙に作られた PDFファイルによってサービス拒否 (クラッシュ) を引き起こす脆弱性があります。(CVE-2009-0195)

- popplerの JBIG2 デコーダにはリモートの攻撃者が巧妙に作られた PDFファイルによってサービス拒否 (クラッシュ)を引き起こす脆弱性があります。(CVE-2009-0799)

- poppler の JBIG2 デコーダには複数の入力検証に問題があり、巧妙に作られた PDF ファイルによって任意のコードを実行される脆弱性があります。(CVE-2009-0800)

- poppler の JBIG2 デコーダには整数バッファオーバーフローの問題があり、巧妙に作られたPDFによって、リモートの攻撃者が任意のコードを実行する脆弱性があります。(CVE-2009-1179)

- popplerの JBIG2 デコーダには巧妙に作られた PDFファイルによってリモートの攻撃者が任意のコードを実行する脆弱性があります。(CVE-2009-1180)

- popplerの JBIG2 デコーダには巧妙に作られた PDFファイルによってリモートの攻撃者がサービス拒否 (クラッシュ) を引き起こす脆弱性があります。(CVE-2009-1181)

- poppler の JBIG2 MMR デコーダには巧妙に作られた PDF ファイルによって、リモートの攻撃者が任意のコードを実行する脆弱性があります。(CVE-2009-1182)

- poppler の JBIG2 MMR デコーダには巧妙に作られた PDF ファイルによって、リモートの攻撃者がサービス拒否 (無限ループやハングアップ) を引き起こす脆弱性があります。(CVE-2009-1183)

- poppler の JBIG2 デコーディング要素には整数オーバフローが存在し、リモートの攻撃者がサービス拒否 (クラッシュ) を引き起こしたり任意のコードを実行する脆弱性があります。
(CVE-2009-1187, CVE-2009-1188)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2009-0146
Multiple buffer overflows in the JBIG2 decoder in Xpdf 3.02pl2 and earlier, CUPS 1.3.9 and earlier, and other products allow remote attackers to cause a denial of service (crash) via a crafted PDF file, related to (1) JBIG2SymbolDict::setBitmap and (2) JBIG2Stream::readSymbolDictSeg.
CVE-2009-0147
Multiple integer overflows in the JBIG2 decoder in Xpdf 3.02pl2 and earlier, CUPS 1.3.9 and earlier, and other products allow remote attackers to cause a denial of service (crash) via a crafted PDF file, related to (1) JBIG2Stream::readSymbolDictSeg, (2) JBIG2Stream::readSymbolDictSeg, and (3) JBIG2Stream::readGenericBitmap.
CVE-2009-0166
The JBIG2 decoder in Xpdf 3.02pl2 and earlier, CUPS 1.3.9 and earlier, and other products allows remote attackers to cause a denial of service (crash) via a crafted PDF file that triggers a free of uninitialized memory.
CVE-2009-0195
Heap-based buffer overflow in Xpdf 3.02pl2 and earlier, CUPS 1.3.9, and probably other products, allows remote attackers to execute arbitrary code via a PDF file with crafted JBIG2 symbol dictionary segments.
CVE-2009-0799
The JBIG2 decoder in Xpdf 3.02pl2 and earlier, CUPS 1.3.9 and earlier, Poppler before 0.10.6, and other products allows remote attackers to cause a denial of service (crash) via a crafted PDF file that triggers an out-of-bounds read.
CVE-2009-0800
Multiple "input validation flaws" in the JBIG2 decoder in Xpdf 3.02pl2 and earlier, CUPS 1.3.9 and earlier, Poppler before 0.10.6, and other products allow remote attackers to execute arbitrary code via a crafted PDF file.
CVE-2009-1179
Integer overflow in the JBIG2 decoder in Xpdf 3.02pl2 and earlier, CUPS 1.3.9 and earlier, Poppler before 0.10.6, and other products allows remote attackers to execute arbitrary code via a crafted PDF file.
CVE-2009-1180
The JBIG2 decoder in Xpdf 3.02pl2 and earlier, CUPS 1.3.9 and earlier, Poppler before 0.10.6, and other products allows remote attackers to execute arbitrary code via a crafted PDF file that triggers a free of invalid data.
CVE-2009-1181
The JBIG2 decoder in Xpdf 3.02pl2 and earlier, CUPS 1.3.9 and earlier, Poppler before 0.10.6, and other products allows remote attackers to cause a denial of service (crash) via a crafted PDF file that triggers a NULL pointer dereference.
CVE-2009-1182
Multiple buffer overflows in the JBIG2 MMR decoder in Xpdf 3.02pl2 and earlier, CUPS 1.3.9 and earlier, Poppler before 0.10.6, and other products allow remote attackers to execute arbitrary code via a crafted PDF file.
CVE-2009-1183
The JBIG2 MMR decoder in Xpdf 3.02pl2 and earlier, CUPS 1.3.9 and earlier, Poppler before 0.10.6, and other products allows remote attackers to cause a denial of service (infinite loop and hang) via a crafted PDF file.
CVE-2009-1187
Integer overflow in the JBIG2 decoding feature in Poppler before 0.10.6 allows remote attackers to cause a denial of service (crash) and possibly execute arbitrary code via vectors related to CairoOutputDev (CairoOutputDev.cc).
CVE-2009-1188
Integer overflow in the JBIG2 decoding feature in the SplashBitmap::SplashBitmap function in SplashBitmap.cc in Xpdf 3.x before 3.02pl4 and Poppler before 0.10.6, as used in GPdf and kdegraphics KPDF, allows remote attackers to execute arbitrary code or cause a denial of service (application crash) via a crafted PDF document.


追加情報: 

N/A

ダウンロード: 

SRPMS
  1. poppler-0.5.4-4.4.9.1AXS3.src.rpm
    MD5: 3006536f9cf20b5508267af91fe35a0a
    SHA-256: c3b1232aa02380b49cfbdb1eb352a74c85969bfac4467ccdd846f81ab558c538
    Size: 3.48 MB

Asianux Server 3 for x86
  1. poppler-0.5.4-4.4.9.1AXS3.i386.rpm
    MD5: 71a10023ad16de7da51ae5ef0734498a
    SHA-256: f5192e7978a57f353b7bab61813cd0f82d2636d1b09992f68319ad48c085a1d8
    Size: 2.99 MB
  2. poppler-utils-0.5.4-4.4.9.1AXS3.i386.rpm
    MD5: 980e54de1dcf576eb4939be9f8ba715d
    SHA-256: 5f6f398af87ac0782e364b41bd776f477d2178c96ecabbfde83b040d412f2ed2
    Size: 72.04 kB

Asianux Server 3 for x86_64
  1. poppler-0.5.4-4.4.9.1AXS3.x86_64.rpm
    MD5: 832a9da4799890b3ef0355c6c8e66e32
    SHA-256: 34927a4300d09d5b402f769108c23a494b9e6945c26e81b42612385138a89329
    Size: 3.01 MB
  2. poppler-utils-0.5.4-4.4.9.1AXS3.x86_64.rpm
    MD5: 331130ff792dd770286f349ff2929462
    SHA-256: 6c5f9ffa0826d884f5cb7818311bf7dfbc3966f3b1815aedbecc9df833c5c2df
    Size: 75.15 kB