Risque
- Exécution de code arbitraire à distance
Systèmes affectés
Toutes les versions xpdf, ainsi que ses dérivés, comme poppler, kdegraphics, gpdf ou pdfkit.framework.
Description
Un dépassement de tampon dans le fichier Splash.cc peut laisser un utilisateur malveillant exécuter du code arbitraire. Il lui suffit de créer un document pdf contenant une image splash de taille anormalement grande.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Debian DSA 971 du 14 février 2006 : http://www.debian.org/security/2006/dsa-971
- Bulletin de sécurité Debian DSA 972 du 15 février 2006 : http://www.debian.org/security/2006/dsa-972
- Bulletin de sécurité Debian DSA 974 du 15 février 2006 : http://www.debian.org/security/2006/dsa-974
- Bulletin de sécurité Gentoo GLSA-200602-04 du 12 février 2006 : http://www.gentoo.org/security/en/glsa/glsa-200602-04.xml
- Bulletin de sécurité Gentoo GLSA-200602-05 du 12 février 2006 : http://www.gentoo.org/security/en/glsa/glsa-200602-05.xml
- Bulletin de sécurité Mandriva MDKSA-2006:030 du 2 février 2006 : http://wwwnew.mandriva.com/security/advisories?name=MDKSA-2006:030
- Bulletin de sécurité Mandriva MDKSA-2006:031 du 2 février 2006 : http://wwwnew.mandriva.com/security/advisories?name=MDKSA-2006:031
- Bulletin de sécurité Mandriva MDKSA-2006:032 du 2 février 2006 : http://wwwnew.mandriva.com/security/advisories?name=MDKSA-2006:032
- Bulletin de sécurité RedHat RHSA-2006:0201 du 13 février 2006 : http://rhn.redhat.com/errata/RHSA-2006-0201.html
- Bulletin de sécurité RedHat RHSA-2006:0206 du 13 février 2006 : http://rhn.redhat.com/errata/RHSA-2006-0206.html
- Bulletin de sécurité Ubuntu USN-249-1 du 14 février 2006 : http://www.ubuntulinux.org/usn/usn-249-1
- Référence CVE CVE-2006-0301 https://www.cve.org/CVERecord?id=CVE-2006-0301