Vulnérabilité dans Xpdf

Gestion du document

Référence	CERTA-2008-AVI-220
Titre	Vulnérabilité dans Xpdf
Date de la première version	18 avril 2008
Date de la dernière version	18 avril 2008
Source(s)	Bulletin de sécurité Debian DSA-1548 du 17 avril 2008
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

Xpdf 3.x.

D'autres applications utilisant une partie du code de Xpdf sont également vulnérables (poppler, koffice ...).

Résumé

Une vulnérabilité dans le lecteur Xpdf permet à un utilisateur distant d'exécuter du code arbitraire à distance.

Description

Une vulnérabilité, causée par une erreur dans le traitement des polices de caractères embarquées par un document au format PDF, peut être exploitée pour exécuter du code arbitraire à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Debian DSA 1548 du 17 avril 2008 :
```
http://www.debian.org/security/2008/dsa-1548
```
Bulletin de sécurité RedHat RHSA-2008:238 du 17 avril 2008 :
```
http://rhn.redhat.com/errata/RHSA-2008-238.html
```
Bulletin de sécurité RedHat RHSA-2008:239 du 17 avril 2008 :
```
http://rhn.redhat.com/errata/RHSA-2008-239.html
```
Bulletin de sécurité RedHat RHSA-2008:240 du 17 avril 2008 :
```
http://rhn.redhat.com/errata/RHSA-2008-240.html
```
Bulletin de sécurité Ubuntu USN-603-1 du 17 avril 2008 :
```
http://www.ubuntulinux.org/usn/usn-603-1
```
Bulletin de sécurité Ubuntu USN-603-2 du 17 avril 2008 :
```
http://www.ubuntulinux.org/usn/usn-603-2
```

Référence CVE CVE-2008-1693 :

https://www.cve.org/CVERecord?id=CVE-2008-1693

Avis du CERT-FR

Objet: Vulnérabilité dans Xpdf