Premier Ministre

S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 18 avril 2008

N° CERTA-2008-AVI-220

Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans Xpdf

Gestion du document

Référence	CERTA-2008-AVI-220
Titre	Vulnérabilité dans Xpdf
Date de la première version	18 avril 2008
Date de la dernière version	18 avril 2008
Source(s)	Bulletin de sécurité Debian DSA-1548 du 17 avril 2008

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance

Systèmes affectés

Xpdf 3.x.

D'autres applications utilisant une partie du code de Xpdf sont également vulnérables (poppler, koffice ...).

Résumé

Une vulnérabilité dans le lecteur Xpdf permet à un utilisateur distant d'exécuter du code arbitraire à distance.

Description

Une vulnérabilité, causée par une erreur dans le traitement des polices de caractères embarquées par un document au format PDF, peut être exploitée pour exécuter du code arbitraire à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Debian DSA 1548 du 17 avril 2008 :

http://www.debian.org/security/2008/dsa-1548

Bulletin de sécurité RedHat RHSA-2008:238 du 17 avril 2008 :

http://rhn.redhat.com/errata/RHSA-2008-238.html

Bulletin de sécurité RedHat RHSA-2008:239 du 17 avril 2008 :

http://rhn.redhat.com/errata/RHSA-2008-239.html

Bulletin de sécurité RedHat RHSA-2008:240 du 17 avril 2008 :

http://rhn.redhat.com/errata/RHSA-2008-240.html

Bulletin de sécurité Ubuntu USN-603-1 du 17 avril 2008 :

http://www.ubuntulinux.org/usn/usn-603-1

Bulletin de sécurité Ubuntu USN-603-2 du 17 avril 2008 :

http://www.ubuntulinux.org/usn/usn-603-2

Référence CVE CVE-2008-1693

https://www.cve.org/CVERecord?id=CVE-2008-1693

Gestion détaillée du document

le 18 avril 2008: version initiale.