Vendor Status Note JVNCIAC-S-269

Poppler に脆弱性

概要

PDF レンダリングライブラリ Poppler には、埋め込みフォントを適切に処理しない脆弱性があります。

影響を受けるシステム
 - Poppler 0.8.0 より前のバージョン

なお、Xpdf、Evince、ePDFview、KWord、kpdf、kdegraphics など Poppler を使用するアプリケーションも影響を受けます。

想定される影響

遠隔の第三者が細工した PDF ファイルを開かせることで、任意のコードを実行する可能性があります。

ベンダ情報

ベンダリンク更新日
DebianDebian セキュリティ勧告 DSA-1548
xpdf -- 複数の脆弱性
Red HatRed Hat Security Advisory RHSA-2008:0238
Important: kdegraphics security update
Red Hat Security Advisory RHSA-2008:0240
Important: xpdf security update
Red Hat Security Advisory RHSA-2008:0239
Important: poppler security update
参考情報

  1. ISS X-Force Database: poppler-cairofont-code-execution(41884)
    Poppler CairoFont::create code execution

JPCERT 緊急報告
JPCERT REPORTJPCERT-WR-2008-1701 ( 2008-05-01 )
CIAC BulletinS-269 kdegraphics Security Update ( 2008-04-25 )
CVE2008-1693 [CVE+] XF41884
PGP署名JVNCIAC-S-269.html.sig

登録日21:29 2008/05/01
更新日21:29 2008/05/01

Copyright(C) 2002-2009 Keio Univ. All rights reserved.