JVNDB-2007-000942

Xpdf の DCTStream::reset メソッドにおける整数オーバーフローの脆弱性

Xpdf の xpdf/Stream.cc には、DCTStream::reset メソッドにおいて、不正な PDF ファイルを処理した際に、整数オーバーフローが発生する脆弱性が存在します。

KDE

• KDE 3.2.0 から 3.5.8 までのバージョン

Xpdf

• Xpdf 3.0.1 Pl1

ターボリナックス

• Turbolinux Appliance Server 1.0 (hosting) 
• Turbolinux Appliance Server 1.0 (workgroup) 
• Turbolinux Appliance Server 2.0  
• Turbolinux Appliance Server 3.0  
• Turbolinux Appliance Server 3.0 (x64) 
• Turbolinux FUJI
• Turbolinux Multimedia
• Turbolinux Personal
• Turbolinux Server 10  
• Turbolinux Server 10 (x64) 
• Turbolinux Server 11  
• Turbolinux Server 11 (x64) 

ミラクル・リナックス

• Asianux Server 4.0 
• Asianux Server 4.0 (x86-64) 
• Asianux Server 3 (x86) 
• Asianux Server 3 (x86-64) 

レッドハット

• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux 3 (as) 
• Red Hat Enterprise Linux 4 (as) 
• Red Hat Enterprise Linux 3 (es) 
• Red Hat Enterprise Linux 4 (es) 
• Red Hat Enterprise Linux 3 (ws) 
• Red Hat Enterprise Linux 4 (ws) 
• Red Hat Enterprise Linux Desktop 3.0 
• Red Hat Enterprise Linux Desktop 4.0 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• RHEL Desktop Workstation 5 (client) 

第三者によって任意のコードを実行される可能性があります。

ベンダ情報及び参考情報を参照して適切な対策を実施してください。

KDE

• KDE Security Advisory : kpdf/kword/xpdf multiple xpdf based vulnerabilities

Xpdf

• Xpdf : Top Page

ターボリナックス

• Turbolinux Security Advisory (英語) : TLSA-2008-19
• 製品セキュリティ情報 : TLSA-2008-19

ミラクル・リナックス

• Asianux Technical Support Network : poppler-0.5.4-4.3
• Asianux Technical Support Network : cups-1.2.4-11.14.3.1AX
• Asianux Technical Support Network : tetex-3.0-33.2.2.1AX
• Asianux Technical Support Network : xpdf-3.01-28.6AXS3
• MIRACLE LINUX アップデート情報 : tetex (V4.0)
• MIRACLE LINUX アップデート情報 : cups (V4.0)

レッドハット

• Red Hat Security Advisory : RHSA-2007:1021
• Red Hat Security Advisory : RHSA-2007:1022
• Red Hat Security Advisory : RHSA-2007:1024
• Red Hat Security Advisory : RHSA-2007:1025
• Red Hat Security Advisory : RHSA-2007:1026
• Red Hat Security Advisory : RHSA-2007:1027
• Red Hat Security Advisory : RHSA-2007:1029
• Red Hat Security Advisory : RHSA-2007:1030
• レッドハット セキュリティーアップデート : RHSA-2007:1021
• レッドハット セキュリティーアップデート : RHSA-2007:1022
• レッドハット セキュリティーアップデート : RHSA-2007:1024
• レッドハット セキュリティーアップデート : RHSA-2007:1025
• レッドハット セキュリティーアップデート : RHSA-2007:1026
• レッドハット セキュリティーアップデート : RHSA-2007:1027
• レッドハット セキュリティーアップデート : RHSA-2007:1029
• レッドハット セキュリティーアップデート : RHSA-2007:1030

1. バッファエラー(CWE-119) [NVD評価]

1. CVE-2007-5392

1. National Vulnerability Database (NVD) : CVE-2007-5392
2. Secunia Advisory : SA27578
3. Secunia Advisory : SA27260
4. SecurityFocus : 26367
5. FrSIRT Advisories : FrSIRT/ADV-2007-3774
6. FrSIRT Advisories : FrSIRT/ADV-2007-3776

• [2007年11月30日]
    掲載
  [2007年12月25日]
    影響を受けるシステム：ミラクル・リナックスの情報追加。
    ベンダ情報：ミラクル・リナックス追加。
    ・poppler-0.5.4-4.3
    ・cups-1.2.4-11.14.3.1AX
    ・tetex-3.0-33.2.2.1AX
  [2008年06月20日]
    影響を受けるシステム：ターボリナックス(TLSA-2008-19) の情報を追加
    ベンダ情報：ターボリナックス(TLSA-2008-19) を追加
    ベンダ情報：ミラクル・リナックス(xpdf-3.01-28.6AXS3) を追加