S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 19 janvier 2005
N° CERTA-2005-AVI-017
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: CUPS : vulnérabilité dans l'impression de certains documents PDF

Gestion du document

Référence CERTA-2005-AVI-017
Titre CUPS : vulnérabilité dans l'impression de certains documents PDF
Date de la première version19 janvier 2005
Date de la dernière version27 janvier 2005
Source(s) CVE : CAN-2005-0064
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire

Systèmes affectés

  • Le paquet cups de Mandrakelinux.
  • Le paquet cupsys de Debian dans toute version antérieure à 1.1.14-5woody12 ;

Description

La vulnérabilité CAN-2005-0064 affecte le logiciel xpdf. Le logiciel cupsys/cups ayant un code similaire présente la même vulnérabilité qui permet à un utilisateur mal intentionné de fabriquer un fichier au format pdf malicieux. L'interprétation de ce fichier par le logiciel cupsys/cups se traduit par l'exécution de code arbitraire.

En ce qui concerne la distribution Debian, Cette vulnérabilité n'affecte que la version stable. Les autres versions n'utilisent plus leur propre version de xpdf.

Solution

Appliquer le correctif (cf. section 5).

Documentation

Gestion détaillée du document

    le 19 janvier 2005
    version initiale ;
    le 27 janvier 2005
    ajout de la référence au bulletin de sécurité Mandrakelinux.