JVNDB-2009-001262

JVNDB-2009-001262
JBIG2 デコーダにおける任意のコードを実行される脆弱性
概要
Xpdf、CUPS、Poppler などの製品の JBIG2 デコーダには、PDF ファイルの処理に不備があるため、任意のコードを実行される脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 6.8 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 不要機密性への影響(C): 部分的完全性への影響(I): 部分的可用性への影響(A): 部分的
影響を受けるシステム

CUPS CUPS 1.3.9 およびそれ以前 freedesktop.org Poppler 0.10.6 未満 Xpdf Xpdf 3.02pl2 およびそれ以前ミラクル・リナックス Asianux Server 3 (x86) Asianux Server 3 (x86-64) Asianux Server 4.0 Asianux Server 4.0 (x86-64) レッドハット RHEL Optional Productivity Applications 5 (server) RHEL Optional Productivity Applications EUS 5.3.z (server) Red Hat Enterprise Linux 5 (server) Red Hat Enterprise Linux 4.7 (as) Red Hat Enterprise Linux 3 (as) Red Hat Enterprise Linux 4 (as) Red Hat Enterprise Linux 4.7 (es) Red Hat Enterprise Linux 3 (es) Red Hat Enterprise Linux 4 (es) Red Hat Enterprise Linux 3 (ws) Red Hat Enterprise Linux 4 (ws) Red Hat Enterprise Linux 4.8 (as) Red Hat Enterprise Linux 4.8 (es) Red Hat Enterprise Linux Desktop 3.0 Red Hat Enterprise Linux Desktop 4.0 Red Hat Enterprise Linux Desktop 5.0 (client) Red Hat Enterprise Linux EUS 5.3.z (server) RHEL Desktop Workstation 5 (client) 日本電気 InfoFrame DocumentSkipper InfoFrame ImagingCore

想定される影響
第三者に任意のコードを実行される可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
CUPS CUPS : Top Page freedesktop.org Poppler : Poppler 0.11 Releases Xpdf Xpdf : Top Page ミラクル・リナックス Asianux Technical Support Network : cups-1.3.7-8.4.1AXS3 Asianux Technical Support Network : poppler-0.5.4-4.4.9.1AXS3 Asianux Technical Support Network : kdegraphics-3.5.5-3.5AXS3 Asianux Technical Support Network : tetex-3.0-33.8.5.0.1.AXS3 MIRACLE LINUX アップデート情報 : 2059 レッドハット Red Hat Security Advisory : RHSA-2009:0429 Red Hat Security Advisory : RHSA-2009:0430 Red Hat Security Advisory : RHSA-2009:0431 Red Hat Security Advisory : RHSA-2009:0458 Red Hat Security Advisory : RHSA-2009:0480 Red Hat Security Advisory : RHSA-2010:0399 Red Hat Security Advisory : RHSA-2010:0400 レッドハットセキュリティーアップデート : RHSA-2009:0429 レッドハットセキュリティーアップデート : RHSA-2009:0430 レッドハットセキュリティーアップデート : RHSA-2009:0431 レッドハットセキュリティーアップデート : RHSA-2009:0458 レッドハットセキュリティーアップデート : RHSA-2009:0480 日本電気 NEC製品セキュリティ情報 : NV10-003
CWEによる脆弱性タイプ一覧 CWEとは?
不適切な入力確認(CWE-20) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2009-0800
参考情報
JVN : JVNVU#196617 National Vulnerability Database (NVD) : CVE-2009-0800 US-CERT Vulnerability Note : VU#196617 Secunia Advisory : SA35064 Secunia Advisory : SA34756 Secunia Advisory : SA34755 Secunia Advisory : SA34481 Secunia Advisory : SA34291 Secunia Advisory : SA34746 Secunia Advisory : SA34963 SecurityFocus : 34568 SecurityTracker : 1022073 VUPEN Security : VUPEN/ADV-2009-1077 VUPEN Security : VUPEN/ADV-2009-1066 VUPEN Security : VUPEN/ADV-2009-1065 VUPEN Security : VUPEN/ADV-2009-1076
更新履歴
[2009年05月28日] 掲載 [2009年07月03日] ベンダ情報：ミラクル・リナックス (poppler-0.5.4-4.4.9.1AXS3) を追加 [2009年12月07日] ベンダ情報：ミラクル・リナックス (kdegraphics-3.5.5-3.5AXS3) を追加 [2010年05月06日] 影響を受けるシステム：日本電気 (NV10-003) の情報を追加ベンダ情報：日本電気 (NV10-003) を追加 [2010年05月26日] 影響を受けるシステム：ミラクル・リナックス (2059) の情報を追加影響を受けるシステム：レッドハット (RHSA-2010:0399) の情報を追加ベンダ情報：ミラクル・リナックス (tetex-3.0-33.8.5.0.1.AXS3) を追加ベンダ情報：ミラクル・リナックス (2059) を追加ベンダ情報：レッドハット (RHSA-2010:0399) を追加ベンダ情報：レッドハット (RHSA-2010:0400) を追加


公表日	2009/04/16
登録日	2009/05/28
最終更新日	2010/05/26

JBIG2 デコーダにおける任意のコードを実行される脆弱性