JVNDB-2009-001260

Xpdf および CUPS の JBIG2 デコーダーにおけるサービス運用妨害 (DoS) の脆弱性

Xpdf および CUPS の JBIG2 デコーダーには、初期化されていないメモリに関する処理に不備があることにより、サービス運用妨害 (DoS) 状態となる脆弱性が存在します。

CUPS

• CUPS 1.3.9 およびそれ以前

Glyph & Cog, LLC

• Xpdf 3.02pl2 およびそれ以前

サイバートラスト株式会社

• Asianux Server 3 (x86) 
• Asianux Server 3 (x86-64) 
• Asianux Server 4.0 
• Asianux Server 4.0 (x86-64) 

ターボリナックス

• Turbolinux Appliance Server 3.0  
• Turbolinux Appliance Server 3.0 (x64) 
• Turbolinux Client 2008 
• Turbolinux Server 11  
• Turbolinux Server 11 (x64) 

レッドハット

• RHEL Optional Productivity Applications 5 (server) 
• RHEL Optional Productivity Applications EUS 5.3.z (server) 
• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux 4.7 (as) 
• Red Hat Enterprise Linux 3 (as) 
• Red Hat Enterprise Linux 4 (as) 
• Red Hat Enterprise Linux 4.7 (es) 
• Red Hat Enterprise Linux 3 (es) 
• Red Hat Enterprise Linux 4 (es) 
• Red Hat Enterprise Linux 3 (ws) 
• Red Hat Enterprise Linux 4 (ws) 
• Red Hat Enterprise Linux 4.8 (as) 
• Red Hat Enterprise Linux 4.8 (es) 
• Red Hat Enterprise Linux Desktop 3.0 
• Red Hat Enterprise Linux Desktop 4.0 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• Red Hat Enterprise Linux EUS 5.3.z (server) 
• RHEL Desktop Workstation 5 (client) 

第三者による巧妙に細工された PDF ファイルを処理することにより、サービス運用妨害 (DoS) 状態にされる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

CUPS

• CUPS : Top Page

Glyph & Cog, LLC

• Xpdf : Top Page

サイバートラスト株式会社

• Asianux Technical Support Network : cups-1.3.7-8.4.1AXS3
• Asianux Technical Support Network : poppler-0.5.4-4.4.9.1AXS3
• Asianux Technical Support Network : kdegraphics-3.5.5-3.5AXS3
• Asianux Technical Support Network : tetex-3.0-33.8.5.0.1.AXS3
• MIRACLE LINUX アップデート情報 : 1714
• MIRACLE LINUX アップデート情報 : 1710
• MIRACLE LINUX アップデート情報 : 2059

ターボリナックス

• 製品セキュリティ情報 : TLSA-2010-13

レッドハット

• Red Hat Security Advisory : RHSA-2009:0429
• Red Hat Security Advisory : RHSA-2009:0430
• Red Hat Security Advisory : RHSA-2009:0431
• Red Hat Security Advisory : RHSA-2009:0458
• Red Hat Security Advisory : RHSA-2009:0480
• Red Hat Security Advisory : RHSA-2010:0399
• Red Hat Security Advisory : RHSA-2010:0400
• レッドハット セキュリティーアップデート : RHSA-2009:0429
• レッドハット セキュリティーアップデート : RHSA-2009:0430
• レッドハット セキュリティーアップデート : RHSA-2009:0431
• レッドハット セキュリティーアップデート : RHSA-2009:0458
• レッドハット セキュリティーアップデート : RHSA-2009:0480

1. リソース管理の問題(CWE-399) [NVD評価]

1. CVE-2009-0166

1. National Vulnerability Database (NVD) : CVE-2009-0166
2. Secunia Advisory : SA35064
3. Secunia Advisory : SA34756
4. Secunia Advisory : SA34755
5. Secunia Advisory : SA34481
6. Secunia Advisory : SA34291
7. SecurityFocus : 34568
8. SecurityTracker : 1022073
9. VUPEN Security : VUPEN/ADV-2009-1077
10. VUPEN Security : VUPEN/ADV-2009-1066
11. VUPEN Security : VUPEN/ADV-2009-1065

• [2009年05月27日]
    掲載
  [2009年07月03日]
    ベンダ情報：ミラクル・リナックス (poppler-0.5.4-4.4.9.1AXS3) を追加
  [2009年12月07日]
    ベンダ情報：ミラクル・リナックス (kdegraphics-3.5.5-3.5AXS3) を追加
  [2010年05月07日]
    影響を受けるシステム：ターボリナックス (TLSA-2010-13) の情報を追加
    影響を受けるシステム：レッドハット (RHSA-2010:0399) の情報を追加
    ベンダ情報：ターボリナックス (TLSA-2010-13) を追加
    ベンダ情報：レッドハット (RHSA-2010:0399) を追加
    ベンダ情報：レッドハット (RHSA-2010:0400) を追加
  [2010年06月01日]
    ベンダ情報：ミラクル・リナックス (tetex-3.0-33.8.5.0.1.AXS3) を追加
    ベンダ情報：ミラクル・リナックス (2059) を追加