S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 03 janvier 2003
N° CERTA-2003-AVI-001
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité sur pdftops

Gestion du document

Référence CERTA-2003-AVI-001
Titre Vulnérabilité sur pdftops
Date de la première version03 janvier 2003
Date de la dernière version07 février 2003
Source(s) Avis de sécurité iDefense
CVE : CAN-2002-1384
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Déni de service
  • Exécution de commande arbitraire

Systèmes affectés

La fonction pdftops incluse des logiciels comme xpdf et cups.

Résumé

Une vulnérabilité présente sur pdftops permet à un utilisateur mal intentionné de réaliser un débordement de mémoire.

Description

Le logiciel utilisé pour afficher des documents au format pdf xpdf et le gestionnaire d'impression cups utilisent le filtre pdftops.

Ce filtre contient un risque de débordement de mémoire permettant à un utilisateur mal intentionné d'exécuter du code arbitraire ou de réaliser un déni de service à l'aide d'un document au format pdf malicieusement construit.

Solution

Appliquer les mises à jour de vos logiciels (cf section documentation)

Documentation

Gestion détaillée du document

    le 03 janvier 2003
    version initiale.
    le 22 janvier 2003
    ajout références aux bulletins de Mandrake et Debian.
    le 07 février 2003
    ajout référence au bulletin de Red Hat.