JVNDB-2007-000943

Xpdf の CCITTFaxStream::lookChar メソッドにおけるヒープベースのバッファオーバーフローの脆弱性

Xpdf の xpdf/Stream.cc には、CCITTFaxStream::lookChar メソッドにおいて、不正な CCITTFaxDecode フィルタを含む PDF ファイルを処理した際に、ヒープベースのバッファオーバーフローが発生する脆弱性が存在します。

KDE

• KDE 3.2.0 から 3.5.8 までのバージョン

Xpdf

• Xpdf 3.0.1 Pl1

ターボリナックス

• Turbolinux Appliance Server 1.0 (hosting) 
• Turbolinux Appliance Server 1.0 (workgroup) 
• Turbolinux Appliance Server 2.0  
• Turbolinux Appliance Server 3.0  
• Turbolinux Appliance Server 3.0 (x64) 
• Turbolinux FUJI
• Turbolinux Multimedia
• Turbolinux Personal
• Turbolinux Server 10  
• Turbolinux Server 10 (x64) 
• Turbolinux Server 11  
• Turbolinux Server 11 (x64) 
• wizpy

ミラクル・リナックス

• Asianux Server 4.0 
• Asianux Server 4.0 (x86-64) 
• Asianux Server 2.0 
• Asianux Server 2.1 
• Asianux Server 3.0 
• Asianux Server 3.0 (x86-64) 
• Asianux Server 3 (x86) 
• Asianux Server 3 (x86-64) 

レッドハット

• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux 3 (as) 
• Red Hat Enterprise Linux 4 (as) 
• Red Hat Enterprise Linux 3 (es) 
• Red Hat Enterprise Linux 4 (es) 
• Red Hat Enterprise Linux 3 (ws) 
• Red Hat Enterprise Linux 4 (ws) 
• Red Hat Enterprise Linux 2.1 (as) 
• Red Hat Enterprise Linux 2.1 (es) 
• Red Hat Enterprise Linux 2.1 (ws) 
• Red Hat Enterprise Linux Desktop 3.0 
• Red Hat Enterprise Linux Desktop 4.0 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• RHEL Desktop Workstation 5 (client) 

第三者によって任意のコードを実行される可能性があります。

ベンダ情報及び参考情報を参照して適切な対策を実施してください。

KDE

• KDE Security Advisory : kpdf/kword/xpdf multiple xpdf based vulnerabilities

Xpdf

• Xpdf : Top Page

ターボリナックス

• Turbolinux Security Advisory (英語) : TLSA-2008-19
• 製品セキュリティ情報 : TLSA-2008-19

ミラクル・リナックス

• Asianux Technical Support Network : poppler-0.5.4-4.3
• Asianux Technical Support Network : cups-1.2.4-11.14.3.1AX
• Asianux Technical Support Network : tetex-3.0-33.2.2.1AX
• MIRACLE LINUX アップデート情報 : xpdf (V2.x)
• MIRACLE LINUX アップデート情報 : tetex (V4.0)
• MIRACLE LINUX アップデート情報 : cups (V4.0)
• MIRACLE LINUX アップデート情報 : tetex (V3.0)

レッドハット

• レッドハット セキュリティーアップデート : RHSA-2007:1021
• レッドハット セキュリティーアップデート : RHSA-2007:1022
• レッドハット セキュリティーアップデート : RHSA-2007:1023
• レッドハット セキュリティーアップデート : RHSA-2007:1024
• レッドハット セキュリティーアップデート : RHSA-2007:1025
• レッドハット セキュリティーアップデート : RHSA-2007:1026
• レッドハット セキュリティーアップデート : RHSA-2007:1027
• レッドハット セキュリティーアップデート : RHSA-2007:1028
• レッドハット セキュリティーアップデート : RHSA-2007:1029
• レッドハット セキュリティーアップデート : RHSA-2007:1030
• レッドハット セキュリティーアップデート : RHSA-2007:1031
• レッドハット セキュリティーアップデート : RHSA-2007:1051

1. バッファエラー(CWE-119) [NVD評価]

1. CVE-2007-5393

1. National Vulnerability Database (NVD) : CVE-2007-5393
2. Secunia Advisory : SA27578
3. Secunia Advisory : SA27260
4. SecurityFocus : 26367
5. FrSIRT Advisories : FrSIRT/ADV-2007-3774
6. FrSIRT Advisories : FrSIRT/ADV-2007-3776

• [2007年11月30日]
    掲載
  [2007年12月25日]
    影響を受けるシステム：ミラクル・リナックスの情報追加。
    ベンダ情報：ミラクル・リナックス追加。
    ・poppler-0.5.4-4.3
    ・cups-1.2.4-11.14.3.1AX
    ・tetex-3.0-33.2.2.1AX
  [2008年07月01日]
    影響を受けるシステム：ターボリナックス(TLSA-2008-19) の情報を追加
    ベンダ情報：ターボリナックス(TLSA-2008-19) を追加