JVNDB-2011-001431
|
Foolabs Xpdf にサービス運用妨害 (DoS) の脆弱性
|
|
Foolabs Xpdf には、フォントの解析に起因するサービス運用妨害 (DoS) の脆弱性が存在します。
Foolabs Xpdf は Portable Document Format (PDF) を閲覧するためのオープンソースのソフトウェアです。Foolabs Xpdf には、t1lib ライブラリの Type 1 フォント解析処理に起因する脆弱性が存在します。
|
|
|
|
|
foolabs
- xpdf 3.02pl5 およびそれ以前のバージョン
|
|
|
遠隔の第三者によって、サービス運用妨害 (DoS) 攻撃を受けたり、任意のコードを実行されたりする可能性があります。
|
|
[t1lib ライブラリを使用しない]
開発者は t1lib ライブラリを使わない Xpdf のビルドを推奨しています。
To build Xpdf without t1lib, add the "--with-t1-library=no" flag to the
configure command:
./configure --with-t1-library=no .....
To double-check, run "xpdf --help". The "-freetype" option should be
listed, and the "-t1lib" option should NOT be listed. That indicates
that Xpdf was built with FreeType and without t1lib.
With this setting, Xpdf will use FreeType instead of t1lib to rasterize
Type 1 fonts. With recent versions of FreeType, the Type 1 quality is
as good or better than t1lib, so this should not present any problems.
|
|
foolabs
|
|
|
|
|
|
- JVN : JVNVU#376500
- US-CERT Vulnerability Note : VU#376500
|
|
|
