{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"

Tout syst\u00e8me (Unix, Microsoft DOS/Windows) utilisant Xpdf, jusqu'\u00e0 la version 3.01, (ou kpdf, gpdf) comme lecteur de document PDF (voire une liste plus \u00e9tendue dans la section description).

Par ailleurs le service d'impression Unix CUPS est \u00e9galement touch\u00e9 via son convertisseur PDF vers Postscript.

","content":"## Description\n\nQuatre vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 identifi\u00e9es par IDefense dans le code\nsource de Xpdf. Elles permettent de g\u00e9n\u00e9rer des allocations m\u00e9moires\ntrop petites par rapport aux donn\u00e9es qui y sont plac\u00e9es. Cela provoque\ng\u00e9n\u00e9ralement un arr\u00eat brutal du programme voire l'ex\u00e9cution de code.\n\nPar ailleurs, cinq nouvelles vuln\u00e9rabilit\u00e9s proches (probl\u00e8mes sur le\nd\u00e9codage du format) ont \u00e9t\u00e9 publi\u00e9es d\u00e9but janvier 2006.\n\nParmi les applications affect\u00e9es on peut identifier :\n\n- Les lecteurs gpdf et kpdf,\n- la distribution L^A^TEXteTeX,\n- le convertisseur pdftohmtl et celui du traitement de texte KWord,\n- la biblioth\u00e8que poppler,\n- le service d'impression CUPS.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 Ubuntu USN-236-1 du 05 janvier 2006 pour cupsys, xpdf, poppler et tetex-bin :","url":"http://ubuntu.com/usn/usn-236-1"},{"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA-936 du 09 janvier 2006 pour libextractor :","url":"http://www.debian.org/security/2006/DSA-936"},{"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA-950 du 23 janvier 2006 pour cupsys :","url":"http://www.debian.org/security/2006/DSA-950"},{"title":"Bulletin de s\u00e9curit\u00e9 Mandriva MDKSA-2006:008 du 05 janvier 2006 pour koffice :","url":"http://www.mandriva.com/security/advisories?name=MDKSA-2006:008"},{"title":"Mise \u00e0 jour de s\u00e9curit\u00e9 Fedora Core 3 FEDORA-2005-1125 du 07 d\u00e9cembre 2005 pour gpdf :","url":"http://www.redhat.com/archives/fedora-announce-list/2005-December/msg00014.html"},{"title":"Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2005:868 du 20 d\u00e9cembre 2005 pour kdegraphics :","url":"http://rhn.redhat.com/errata/RHSA-2005-868.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Mandriva MDKSA-2006:011 du 10 janvier 2006 pour tetex :","url":"http://www.mandriva.com/security/advisories?name=MDKSA-2006:011"},{"title":"Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2006:0160 du 19 janvier 2006 pour tetex :","url":"http://rhn.redhat.com/errata/RHSA-2006-0160.html"},{"title":"Mise \u00e0 jour de s\u00e9curit\u00e9 Fedora Core 3 FEDORA-2005-1121 du 06 d\u00e9cembre 2005 pour Xpdf :","url":"http://www.redhat.com/archives/fedora-announce-list/2005-December/msg00010.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Mandriva MDKSA-2006:005 du 05 janvier 2006 pour xpdf :","url":"http://www.mandriva.com/security/advisories?name=MDKSA-2006:005"},{"title":"Bulletin de s\u00e9curit\u00e9 SUSE SUSE-SA:2006:001 du 11 janvier 2006 pour xpdf, gpdf, kpdf et kword :","url":"http://lists.suse.com/archive/suse-security-announce/2006-Jan/0001.html"},{"title":"Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2006:0163 du 11 janvier 2006 pour CUPS :","url":"http://rhn.redhat.com/errata/RHSA-2006-0163.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA-962 du 01 f\u00e9vrier 2006 pour pdftohtml :","url":"http://www.debian.org/security/2006/DSA-962"},{"title":"Bulletin de s\u00e9curit\u00e9 Mandriva MDKSA-2006:012 du 12 janvier 2006 pour kdegraphics :","url":"http://www.mandriva.com/security/advisories?name=MDKSA-2006:012"},{"title":"Mise \u00e0 jour de s\u00e9curit\u00e9 Fedora Core 3 FEDORA-2005-000 du 05 janvier 2006 pour cups :","url":"http://www.redhat.com/archives/fedora-announce-list/2006-January/msg00011.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA-937 du 12 janvier 2006 pour tetex-bin :","url":"http://www.debian.org/security/2006/DSA-937"},{"title":"Bulletin de s\u00e9curit\u00e9 Ubuntu USN-236-2 du 09 janvier 2006 pour koffice et kdegraphics :","url":"http://ubuntu.com/usn/usn-236-2"},{"title":"Site internet du lecteur Xpdf :","url":"http://www.foolabs.com/xpdf/"},{"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA-938 du 12 janvier 2006 pour koffice :","url":"http://www.debian.org/security/2006/DSA-938"},{"title":"Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2005:840 du 06 d\u00e9cembre 2005 pour xpdf :","url":"http://rhn.redhat.com/errata/RHSA-2005-840.html"},{"title":"Mise \u00e0 jour de s\u00e9curit\u00e9 Fedora Core 3 FEDORA-2005-029 du 12 janvier 2006 pour tetex :","url":"http://www.redhat.com/archives/fedora-announce-list/2006-January/msg00036.html"},{"title":"Correctif pour les sources du lecteur Xpdf (ne corrige que les 4 failles identifi\u00e9es par iDefense) :","url":"ftp://ftp.foolabs.com/pub/xpdf/xpdf-3.01pl1.patch"},{"title":"Mise \u00e0 jour de s\u00e9curit\u00e9 Fedora Core 4 FEDORA-2005-000 du 05 janvier 2006 pour cups :","url":"http://www.redhat.com/archives/fedora-announce-list/2006-January/msg00010.html"},{"title":"Bulletin de s\u00e9curit\u00e9 iDefense du 05 d\u00e9cembre 2005 :","url":"http://www.idefense.com/application/poi/display?id=345"},{"title":"Bulletin de s\u00e9curit\u00e9 Gentoo GLSA 200512-08 du 16 d\u00e9cembre 2006 pour cups :","url":"http://www.gentoo.org/security/en/glsa/glsa-200512-08.xml"},{"title":"Bulletin de s\u00e9curit\u00e9 iDefense du 05 d\u00e9cembre 2005 :","url":"http://www.idefense.com/application/poi/display?id=343"},{"title":"Mise \u00e0 jour de s\u00e9curit\u00e9 Fedora Core 4 FEDORA-2005-028 du 12 janvier 2006 pour tetex :","url":"http://www.redhat.com/archives/fedora-announce-list/2006-January/msg00035.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA-961 du 01 f\u00e9vrier 2006 pour pdfkit.framework :","url":"http://www.debian.org/security/2006/DSA-961"},{"title":"Mise \u00e0 jour de s\u00e9curit\u00e9 Fedora Core 4 FEDORA-2005-027 du 11 janvier 2006 pour xpdf :","url":"http://www.redhat.com/archives/fedora-announce-list/2006-January/msg00033.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Gentoo GLSA 200601-17 du 30 janvier 2006 pour xpdf, gpdf, poppler, libextractor, pdftohtml :","url":"http://www.gentoo.org/security/en/glsa/glsa-200601-17.xml"},{"title":"Mise \u00e0 jour de s\u00e9curit\u00e9 Fedora Core 3 FEDORA-2005-1127 du 07 d\u00e9cembre 2005 pour tetex :","url":"http://www.redhat.com/archives/fedora-announce-list/2005-December/msg00016.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA-940 du 13 janvier 2006 pour gpdf :","url":"http://www.debian.org/security/2006/DSA-940"},{"title":"Bulletin de s\u00e9curit\u00e9 iDefense du 05 d\u00e9cembre 2005 :","url":"http://www.idefense.com/application/poi/display?id=342"},{"title":"Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2006:0177 du 11 janvier 2006 pour gpdf :","url":"http://rhn.redhat.com/errata/RHSA-2006-0177.html"},{"title":"Bulletin de s\u00e9curit\u00e9 cd Chris Evans du 06 janvier 2006 :","url":"http://scary.beasts.org/security/CESA-2005-003.txt"},{"title":"Bulletin de s\u00e9curit\u00e9 Mandriva MDKSA-2006:010 du 10 janvier 2006 pour cups :","url":"http://www.mandriva.com/security/advisories?name=MDKSA-2006:010"},{"title":"Bulletin de s\u00e9curit\u00e9 Mandriva MDKSA-2006:003 du 05 janvier 2006 pour poppler :","url":"http://www.mandriva.com/security/advisories?name=MDKSA-2006:003"},{"title":"Mise \u00e0 jour de s\u00e9curit\u00e9 Fedora Core 4 FEDORA-2005-1126 du 07 d\u00e9cembre 2005 pour tetex :","url":"http://www.redhat.com/archives/fedora-announce-list/2005-December/msg00015.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Mandriva MDKSA-2006:006 du 05 janvier 2006 pour gpdf :","url":"http://www.mandriva.com/security/advisories?name=MDKSA-2006:006"},{"title":"Mise \u00e0 jour de s\u00e9curit\u00e9 Fedora Core 4 FEDORA-2005-026 du 10 janvier 2006 pour poppler :","url":"http://www.redhat.com/archives/fedora-announce-list/2006-January/msg00031.html"},{"title":"Mise \u00e0 jour de s\u00e9curit\u00e9 Fedora Core 4 FEDORA-2005-037 du 16 janvier 2006 pour kdegraphics :","url":"http://www.redhat.com/archives/fedora-announce-list/2006-January/msg00043.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Mandriva MDKSA-2006:004 du 05 janvier 2006 pour pdftohtml :","url":"http://www.mandriva.com/security/advisories?name=MDKSA-2006:004"},{"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA-931 du 09 janvier 2006 pour xpdf :","url":"http://www.debian.org/security/2006/DSA-931"},{"title":"Bulletin de s\u00e9curit\u00e9 iDefense du 05 d\u00e9cembre 2005 :","url":"http://www.idefense.com/application/poi/display?id=344"},{"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA-932 du 09 janvier 2006 pour kdegraphics :","url":"http://www.debian.org/security/2006/DSA-932"},{"title":"Bulletin de s\u00e9curit\u00e9 Gentoo GLSA 200601-02 du 04 janvier 2006 pour kdegraphics, kpdf, koffice et kword :","url":"http://www.gentoo.org/security/en/glsa/glsa-200601-02.xml"}],"reference":"CERTA-2005-AVI-483","revisions":[{"description":"version initiale.","revision_date":"2005-12-08T00:00:00.000000"},{"description":"ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 Gentoo GLSA 200512-08, RedHat RHSA-2005:867, RedHat RHSA-2005:868 et RedHat RHSA-2005:878.","revision_date":"2005-12-21T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Gentoo GLSA 200601-02.","revision_date":"2006-01-05T00:00:00.000000"},{"description":"ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 Mandriva.","revision_date":"2006-01-09T00:00:00.000000"},{"description":"ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 Debian.","revision_date":"2006-01-10T00:00:00.000000"},{"description":"remplacement de l'avis Fedora FEDORA-2005-1122 par l'avis FEDORA-2005-027 du 11 janvier 2006, remplacement des avis RedHat RHSA-2005-867 et RHSA-2005-878 par respectivement les avis RHSA-2006-0163 et RHSA-2006-0177 du 11 janvier 2006 ; ajout des avis Ubuntu USN-236-1 et USN-236-2, SuSE SUSE-SA:2006:001, Mandriva MDKSA-2006:010 et MDKSA-2006:011, Debian DSA-936 et DSA-937, des r\u00e9f\u00e9rences CVE CAN-2005-3624 \u00e0 CAN-2005-3628 et du bulletin s\u00e9curit\u00e9 de Chris Evans.","revision_date":"2006-01-12T00:00:00.000000"},{"description":"ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 Debian DSA-938, DSA-940 et Mandriva MDKSA-2006:012.","revision_date":"2006-01-13T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 RedHat RHSA-2006:0160.","revision_date":"2006-01-20T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Debian DSA-950.","revision_date":"2006-01-23T00:00:00.000000"},{"description":"remplacement partiel de l'avis GLSA 200512-08 par l'avis GLSA 200601-17, ajout des r\u00e9f\u00e9rences aux avis Debian DSA-961 et DSA-962 et des avis Fedora FEDORA-2005-028, FEDORA-2005-029 et FEDORA-2005-037.","revision_date":"2006-02-01T00:00:00.000000"}],"risks":[{"description":"D\u00e9ni de service"},{"description":"Ex\u00e9cution de code arbitraire, potentiellement \u00e0 distance"}],"summary":"Un utilisateur mal intentionn\u00e9 peut transmettre \u00e0 sa victime un document\nPDF volontairement mal form\u00e9 dans le but de provoquer une erreur fatale\ndans le code du lecteur utilis\u00e9 voire d'ex\u00e9cuter du code arbitraire.\n\nLe probl\u00e8me peut \u00eatre \u00e9tendu \u00e0 l'impression d'un document PDF par le\nservice d'impression CUPS.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans Xpdf et les biblioth\u00e8ques d\u00e9riv\u00e9es","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 CESA-2005-003 du 06 janvier 2006","url":null},{"published_at":null,"title":"Bulletins de s\u00e9curit\u00e9 iDefense du 05 d\u00e9cembre 2005","url":null}]}