S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

 République Française Paris, le 07 avril 2010
No CERTA-2009-AVI-448-003

Affaire suivie par :

CERTA

AVIS DU CERTA

Objet : Vulnérabilités dans Xpdf et dérivés

Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-448

Gestion du document


Tableau 1: Gestion du document
Référence CERTA-2009-AVI-448-003
Titre Vulnérabilités dans Xpdf et dérivés
Date de la première version 16 octobre 2009
Date de la dernière version 07 avril 2010
Source(s)  
Pièce(s) jointe(s) Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

2 Systèmes affectés

Compte tenu de la réutilisation de fragments de code source, la liste suivante n'est pas exhaustive.

3 Résumé

Plusieurs vulnérabilités dans Xpdf et dans des applications qui en reprennent le code source permettent à un utilisateur malveillant de réaliser un déni de service, voire d'exécuter du code arbitraire, à distance.

4 Description

Plusieurs débordements d'entier dans Xpdf permettent à un utilisateur malveillant de provoquer un débordement du tas (heap). L'exploitation de cette vulnérabilité permet de provoquer un arrêt inopiné du logiciel ou d'exécuter du code arbitraire en incitant un utilisateur à ouvrir ou à imprimer un fichier au format PDF spécialement conçu.

5 Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

6 Documentation

Gestion détaillée du document

16 octobre 2009
version initiale.
27 novembre 2009
ajout des références CVE et des bulletins de sécurité Red Hat, SuSE, Ubuntu et Debian.
01 mars 2010
ajout du bulletin de sécurité Oracle Solaris.
07 avril 2010
ajout du bulletin de sécurité Debian pour Xpdf.


CERTA
2010-04-07