Risque
- Exécution de code arbitraire à distance
Systèmes affectés
evince versions 2.x.
Résumé
Plusieurs vulnérabilités ont été corrigées dans evince, un lecteur de documents pouvant lire différents format de fichiers (PDF, DVI, PostScript) pour l'environnement de bureau GNOME. L'exploitation réussie de celles-ci peut permettre l'exécution de code arbitraire à distance.
Description
Quatres vulnérabilités dans le moteur de rendu de fichiers DVI ont été corrigées. En forçant un utilisateur à afficher un fichier DVI spécialement conçu, un attaquant peut terminer l'exécution d'evince ou exécuter du code arbitraire avec les droits de cet utilisateur.
Solution
Se référer aux bulletins de sécurité des différentes distributions utilisant ce logiciel pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Ubuntu USN-1035-1 du 05 janvier 2011 http://www.ubuntulinux.org/usn/usn-1035-1
- Bulletin de sécurité Fedora FEDORA-2011-0208 du 07 janvier 2011 : http://lists.fedoraproject.org/pipermail/package-announce/2011-January/052910.html
- Bulletin de sécurité Red Hat : https://rhn.redhat.com/errata/RHSA-2011-0009.html
- Système de gestion de code source du projet evince : http://git.gnome.org/browse/evince/commit/?id=d4139205b010ed06310d14284e63114e88ec6de2
- Référence CVE CVE-2010-2640 https://www.cve.org/CVERecord?id=CVE-2010-2640
- Référence CVE CVE-2010-2641 https://www.cve.org/CVERecord?id=CVE-2010-2641
- Référence CVE CVE-2010-2642 https://www.cve.org/CVERecord?id=CVE-2010-2642
- Référence CVE CVE-2010-2643 https://www.cve.org/CVERecord?id=CVE-2010-2643
