Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
Xpdf dans différentes distributions Linux (cf. section Documentation).
Résumé
Deux vulnérabilités permettant à une personne distante malintentionnée de provoquer un déni de service ou d'exécuter du code arbitraire à distance ont été découvertes dans Xpdf et Poppler.
Description
Des vulnérabilités de type utilisation de pointeur non initialisé et de type débordement de mémoire ont été identifiées dans Xpdf. L'exploitation de ces vulnérabilités peut conduire à un déni de service à distance ou de l'exécution de code arbitraire à distance par le biais d'un fichier pdf spécialement construit.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Avis de sécurité Debian DSA-2119-1 du 12 octobre 2010 : http://debian.org/security/2010/dsa-2119
- Avis de sécurité Ubuntu USN-1005-1 : http://www.ubuntu.com/usn/usn-1005-1
- Bulletin de sécurité RedHat RHSA-2010:0749 du 07 octobre 2010 : http://rhn.redhat.com/errata/RHSA-2010-0749.html
- Bulletin de sécurité RedHat RHSA-2010:0750 du 07 octobre 2010 : http://rhn.redhat.com/errata/RHSA-2010-0750.html
- Bulletin de sécurité RedHat RHSA-2010:0751 du 07 octobre 2010 : http://rhn.redhat.com/errata/RHSA-2010-0751.html
- Bulletin de sécurité RedHat RHSA-2010:0752 du 07 octobre 2010 : http://rhn.redhat.com/errata/RHSA-2010-0752.html
- Bulletin de sécurité RedHat RHSA-2010:0753 du 07 octobre 2010 : http://rhn.redhat.com/errata/RHSA-2010-0753.html
- Bulletin de sécurité RedHat RHSA-2010:0754 du 07 octobre 2010 : http://rhn.redhat.com/errata/RHSA-2010-0754.html
- Bulletin de sécurité RedHat RHSA-2010:0755 du 07 octobre 2010 : http://rhn.redhat.com/errata/RHSA-2010-0755.html
- Référence CVE CVE-2010-3702 https://www.cve.org/CVERecord?id=CVE-2010-3702
- Référence CVE CVE-2010-3704 https://www.cve.org/CVERecord?id=CVE-2010-3704
