JVNDB-2009-001260

JVNDB-2009-001260
Xpdf および CUPS の JBIG2 デコーダーにおけるサービス運用妨害 (DoS) の脆弱性
概要
Xpdf および CUPS の JBIG2 デコーダーには、初期化されていないメモリに関する処理に不備があることにより、サービス運用妨害 (DoS) 状態となる脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 4.3 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): なし可用性への影響(A): 部分的
影響を受けるシステム

CUPS CUPS 1.3.9 およびそれ以前 Xpdf Xpdf 3.02pl2 およびそれ以前ターボリナックス Turbolinux Appliance Server 3.0 Turbolinux Appliance Server 3.0 (x64) Turbolinux Client 2008 Turbolinux Server 11 Turbolinux Server 11 (x64) ミラクル・リナックス Asianux Server 3 (x86) Asianux Server 3 (x86-64) Asianux Server 4.0 Asianux Server 4.0 (x86-64) レッドハット RHEL Optional Productivity Applications 5 (server) RHEL Optional Productivity Applications EUS 5.3.z (server) Red Hat Enterprise Linux 5 (server) Red Hat Enterprise Linux 4.7 (as) Red Hat Enterprise Linux 3 (as) Red Hat Enterprise Linux 4 (as) Red Hat Enterprise Linux 4.7 (es) Red Hat Enterprise Linux 3 (es) Red Hat Enterprise Linux 4 (es) Red Hat Enterprise Linux 3 (ws) Red Hat Enterprise Linux 4 (ws) Red Hat Enterprise Linux 4.8 (as) Red Hat Enterprise Linux 4.8 (es) Red Hat Enterprise Linux Desktop 3.0 Red Hat Enterprise Linux Desktop 4.0 Red Hat Enterprise Linux Desktop 5.0 (client) Red Hat Enterprise Linux EUS 5.3.z (server) RHEL Desktop Workstation 5 (client)

想定される影響
第三者による巧妙に細工された PDF ファイルを処理することにより、サービス運用妨害 (DoS) 状態にされる可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
CUPS CUPS : Top Page Xpdf Xpdf : Top Page ターボリナックス製品セキュリティ情報 : TLSA-2010-13 ミラクル・リナックス Asianux Technical Support Network : cups-1.3.7-8.4.1AXS3 Asianux Technical Support Network : poppler-0.5.4-4.4.9.1AXS3 Asianux Technical Support Network : kdegraphics-3.5.5-3.5AXS3 Asianux Technical Support Network : tetex-3.0-33.8.5.0.1.AXS3 MIRACLE LINUX アップデート情報 : 1714 MIRACLE LINUX アップデート情報 : 1710 MIRACLE LINUX アップデート情報 : 2059 レッドハット Red Hat Security Advisory : RHSA-2009:0429 Red Hat Security Advisory : RHSA-2009:0430 Red Hat Security Advisory : RHSA-2009:0431 Red Hat Security Advisory : RHSA-2009:0458 Red Hat Security Advisory : RHSA-2009:0480 Red Hat Security Advisory : RHSA-2010:0399 Red Hat Security Advisory : RHSA-2010:0400 レッドハットセキュリティーアップデート : RHSA-2009:0429 レッドハットセキュリティーアップデート : RHSA-2009:0430 レッドハットセキュリティーアップデート : RHSA-2009:0431 レッドハットセキュリティーアップデート : RHSA-2009:0458 レッドハットセキュリティーアップデート : RHSA-2009:0480
CWEによる脆弱性タイプ一覧 CWEとは?
不適切な入力確認(CWE-20) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2009-0166
参考情報
National Vulnerability Database (NVD) : CVE-2009-0166 Secunia Advisory : SA35064 Secunia Advisory : SA34756 Secunia Advisory : SA34755 Secunia Advisory : SA34481 Secunia Advisory : SA34291 SecurityFocus : 34568 SecurityTracker : 1022073 VUPEN Security : VUPEN/ADV-2009-1077 VUPEN Security : VUPEN/ADV-2009-1066 VUPEN Security : VUPEN/ADV-2009-1065
更新履歴
[2009年05月27日] 掲載 [2009年07月03日] ベンダ情報：ミラクル・リナックス (poppler-0.5.4-4.4.9.1AXS3) を追加 [2009年12月07日] ベンダ情報：ミラクル・リナックス (kdegraphics-3.5.5-3.5AXS3) を追加 [2010年05月07日] 影響を受けるシステム：ターボリナックス (TLSA-2010-13) の情報を追加影響を受けるシステム：レッドハット (RHSA-2010:0399) の情報を追加ベンダ情報：ターボリナックス (TLSA-2010-13) を追加ベンダ情報：レッドハット (RHSA-2010:0399) を追加ベンダ情報：レッドハット (RHSA-2010:0400) を追加 [2010年06月01日] ベンダ情報：ミラクル・リナックス (tetex-3.0-33.8.5.0.1.AXS3) を追加ベンダ情報：ミラクル・リナックス (2059) を追加


公表日	2009/04/16
登録日	2009/05/27
最終更新日	2010/06/01

Xpdf および CUPS の JBIG2 デコーダーにおけるサービス運用妨害 (DoS) の脆弱性