[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[ORCA-ANNOUNCE:02186] セキュリティ情報◆[OSA 2011-001] xpdf


ORCAサポートセンタです。いつもお世話になっています。

本日、下記、セキュリティアップデートパッケージを提供しました。

---------------------------------------------------------------------------
ORCA Project Security Advisory OSA 2011-001    security _at_ orca.med.or.jp
http://www.orca.med.or.jp/orca/security/                         2011/02/16
---------------------------------------------------------------------------

Package         : xpdf
Vulnerability   : 複数の脆弱性
Problem type    : (ローカル) リモート
Debian-specific : いいえ
CVE ID          : CVE-2009-1188 CVE-2009-3603 CVE-2009-3604 CVE-2009-3606
CVE-2009-3608 CVE-2009-3609 CVE-2010-3702 CVE-2010-3704 
複数の欠陥が、Portable Document Format (PDF) ファイルを表示・変更するた
めのツール群 xpdf に発見されました。

The Common Vulnerabilities and Exposures project は以下の問題を認識して
います。

CVE-2009-1188 and CVE-2009-3603

  SplashBitmap::SplashBitmap に整数オーバフローがあり、リモートの攻撃
  者が細工した PDF ファイルを用いて任意のコードの実行や、アプリケーシ
  ョンのクラッシュを実行可能です。

CVE-2009-3604

  NULL pointer dereference or heap-based buffer overflow in
  Splash::drawImage に NULL ポインタ参照とヒープベースのバッファオー
  バフローがあり、リモートの攻撃者が細工した PDF ファイルを用いて任意
  のコードの実行や、サービス拒否攻撃 (アプリケーションのクラッシュ)
  を実行可能です。

CVE-2009-3606

  Integer overflow in the PSOutputDev::doImageL1Sep に整数オーバフロ
  ーがあり、リモートの攻撃者が細工した PDF ファイルを用いて任意のコー
  ドを実行可能です。

CVE-2009-3608

  Integer overflow in the ObjectStream::ObjectStream に整数オーバフロ
  ーがあり、リモートの攻撃者が細工した PDF ファイルを用いて任意のコー
  ドを実行可能です。

CVE-2009-3609

  Integer overflow in the ImageStream::ImageStream に整数オーバフロー
  があり、リモートの攻撃者が細工した PDF ファイルを用いてサービス拒否
  攻撃を実行可能です。

CVE-2010-3702 CVE-2010-3704

  Leviathan Security Group の Joel Voss さんにより、xpdf レンダリング
  エンジンに二つの欠陥があり、不正な PDF ファイルを開く際に任意のコー
  ドの実行に繋がる恐れがあることが発見されました。
ディストリビューション(etch)では、この問題はバージョン 3.01-9.1+orca.etch7 で修正されています。 

直ぐにパッケージをアップグレードすることを勧めます。

アップグレード手順
------------------
ORCAプロジェクトで提供するセキュリティアップデートパッケージを入手するには、
/etc/apt/sources.listファイルに以下の行を追加してください。

  deb http://ftp.orca.med.or.jp/pub/etch-updates etch main contrib non-free

  apt-get パッケージマネージャを用いている場合には、上記の行を sources.list に加えて、

  apt-get update
          を実行して内部データベースを更新し、
  apt-get upgrade
    によって修正されたパッケージをインストールしてください。

Debian GNU/Linux 4.0 alias etch
---------------------------------
ソースアーカイブ:

   http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/x/xpdf/xpdf_3.01-9.1+orca.etch7.dsc
      Size/MD5 checksum: 747 3edfafcb9e29a7d518c825e1befb7f02
   http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/x/xpdf/xpdf_3.01.orig.tar.gz
      Size/MD5 checksum: 599778 e004c69c7dddef165d768b1362b44268
   http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/x/xpdf/xpdf_3.01-9.1+orca.etch7.diff.gz
      Size/MD5 checksum: 49723 39d23abc8758bd24ca0f2b4c8ea3d9c6

アーキテクチャ非依存コンポーネント:

   http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/x/xpdf/xpdf_3.01-9.1+orca.etch7_all.deb
      Size/MD5 checksum: 1274 315d414bbc6c12f3bc4f6b9557331653
   http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/x/xpdf/xpdf-common_3.01-9.1+orca.etch7_all.deb
      Size/MD5 checksum: 63030 d8c90abe890782ed1074e045c9dc7c1f

Intel IA-32 アーキテクチャ:

   http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/x/xpdf/xpdf-reader_3.01-9.1+orca.etch7_i386.deb
      Size/MD5 checksum: 797626 ebefc43b776ec7cec1cfed3ebc7b1b86
   http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/x/xpdf/xpdf-utils_3.01-9.1+orca.etch7_i386.deb
      Size/MD5 checksum: 1459582 85022d78f31a0252e56d07e3196e41d3

これらのファイルは次のアップデートがリリースされると削除されます。

--
ORCA Support Center/JMARI/JMA
http://www.orca.med.or.jp/support/qa/support_form.rhtml
T: 03-5319-4605 D-FAX: 020-4623-1358