S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 30 décembre 2004
N° CERTA-2004-AVI-418
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de Xpdf

Gestion du document

Référence CERTA-2004-AVI-418
Titre Vulnérabilité de Xpdf
Date de la première version30 décembre 2004
Date de la dernière version17 février 2005
Source(s) Bulletin de sécurité iDefense du 21 décembre 2004
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire

Systèmes affectés

Lecteur Xpdf de documents au format Portable Document Format (PDF).

D'autres applications utilisant une partie du code de Xpdf sont également vulnérables (Gpdf, kdegraphics, koffice, tetex, ...).

Résumé

Une vulnérabilité du lecteur Xpdf permet à un utilisateur mal intentionné d'exécuter du code arbitraire sur une machine vulnérable.

Description

Une vulnérabilité de type débordement de mémoire a été découverte dans la fonction Gfx::doImage.

Un utilisateur mal intentionné peut exploiter cette vulnérabilité par le biais d'un document au format PDF habilement construit. Il est alors possible d'exécuter du code arbitraire avec les privilèges de l'utilisateur ayant lancé le lecteur Xpdf.

Contournement provisoire

Ne lire que des documents au format PDF provenant d'une source de confiance.

Solution

Mettre à jour le lecteur Xpdf (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 30 décembre 2004
    version initiale.
    le 03 janvier 2005
    première révision : ajout des applications associées et ajout des avis Debian et Mandrake.
    le 12 janvier 2005
    ajout référence au bulletin de sécurité Gentoo GLSA 200501-17.
    le 14 janvier 2005
    ajout référence au bulletin de sécurité RedHat RHSA-2005:018.
    le 20 janvier 2005
    modification du lien vers le serveur de Foolabs.
    le 17 février 2005
    ajout des références aux bulletins de sécurité RedHat.