【活用ガイド】

JVNDB-2007-000010

Xpdf および kpdf における Catalog Dictionary 処理によるサービス運用妨害 (DoS) の脆弱性

概要

オープンソースの PDF ビューア XPDF および kpdf には、無効なツリーノードやオブジェクトを参照するような Catalog Dictionary やページ属性を持つ PDF ファイルを処理した場合、無限ループを引き起こす脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 6.8 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): 部分的
影響を受けるシステム


Glyph & Cog, LLC
  • Xpdf 3.0.1 patch 2 およびそれ以前
KDE project
  • KDE 3.2.0 から 3.5.5 までのバージョン
  • KOffice 1.2.x

想定される影響

巧妙に細工された PDF ファイルを処理することで、Xpdf/kpdf がサービス運用妨害 (DoS) 状態となる、あるいは潜在的に任意のコードを実行される可能性があります。
対策

ベンダ情報及び参考情報を参照して適切な対策を実施してください。
ベンダ情報

Glyph & Cog, LLC KDE project
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 不適切な入力確認(CWE-20) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2007-0104
参考情報

  1. National Vulnerability Database (NVD) : CVE-2007-0104
  2. Secunia Advisory : SA23799
  3. SecurityFocus : 21910
  4. ISS X-Force Database : 31364
  5. FrSIRT Advisories : FrSIRT/ADV-2007-0212
更新履歴

  • [2007年04月01日]
      掲載

公表日2007/01/08
登録日2007/04/01
最終更新日2007/04/01