openSUSEセキュリティ更新プログラム:qpdf(openSUSE-2018-176)
high Nessus プラグイン ID 106894
Language:
概要
リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。説明
このqpdfのバージョン7.1.1への更新では、以下の問題を修正します:- バージョン 7.1.1 に更新してください
- 最初の/IDコンポーネントが16バイト長でないファイルに影響を与える1つの線形化バグを修正します
- バージョン 7.1.0 に更新してください
QPDF::setPasswordIsHexKeyメソッドを含むライブラリおよびコマンドで指定されるraw暗号化鍵を許可し、さらに
--password-is-hex-key オプション。--show-encryption-keyオプションを使用して暗号化鍵の表示を許可します。暗号化されたPDFを解読するためにこれを使用することの説明については、https://blog.didierstevens.com/2017/12/28/cracking-encrypted-pdfs-part-3/を参照してください。qpdfの今後のリリースでは、この機能を利用する可能性がある一部の追加リカバリオプションが含まれることが期待されます。
- 語彙のエラーを修正します:PDF仕様では、浮動小数点数が「.」で終わることが許可されています
- qpdfの古いバージョンがインストールされていて、ソースから構築する場合に競合を回避するため、ビルド内のリンク順序を修正します
- LZWおよびFlateストリーム用のTIFF予測子のサポートを追加します。現在
- 解析を制御するものの出力作成を制御しないオプションに関するドキュメントを明確化します。2つのオプション:
--suppress-recovery および
--ignore-xref-streamsは、出力に関連していないものの 、マニュアルおよび--help出力の「Advanced Transformation Options(詳細な変換オプション)」セクションで文書化されています。これらは、「Advanced Parsing Options(詳細な解析オプション)」と呼ばれる別のセクションで説明されています。
- デコードのために残りのPNGフィルターを実装します。以前のバージョンでは、「up」フィルターのみをデコードできました。現在、すべてのPNGフィルター(sub、up、avem、vg、Paeth、optimal)がデコードにサポートされています。残りのPNGフィルターの実装により、インターフェイスがプライベートなPl_PNGFilterクラスに変更されましたが、このクラスのヘッダーファイルはインストールされておらず、クラスにパブリックインターフェイスはありません。ライブラリ内では、クラスはスタックに割り当てられることはありません。これは動的にのみ割り当てられます。そのため、実際にはライブラリのバイナリ互換性は遮断されません。すべての予測関数がサポートされます
- バージョン 7.0.0 に更新してください
- ライセンスは現在Apache-2.0です
- 新しいlibjpeg8-devel依存関係を追加します
- QPDFWriterがデコードできないストリームに遭遇した場合に発行されるエラーメッセージを改善します。特に、データ損失を回避するために、ストリームはフィルタリングせずにコピーされることに言及します。
- QPDFWriterへの新たな追加に対応するために、C APIに新しいメソッドを追加します:
- qpdf_set_compress_streams
- qpdf_set_decode_level
- qpdf_set_preserve_unreferenced_objects
- qpdf_set_newline_before_endstream
- PCLmファイルを書き込むためのサポートを追加します
- QPDFは、JPEGまたはRunLengthエンコーディングを使用してエンコードされたストリームの読み書きをサポートするようになりました。この動作を制御するために、ライブラリAPI強化およびコマンドラインオプションが追加されました。コマンドラインオプションを参照してください
--compress-streamsおよび--decode-levelおよびメソッドQPDFWriter::setCompressStreamsおよびQPDFWriter::setDecodeLevel。
- ページの回転がサポートされるようになり、ライブラリとコマンドラインの両方からアクセスできます。
- CVE-2017-12595 boo#1055960、CVE-2017-9208boo#1040311 CVE-2017-9209 boo#1040312、CVE-2017-9210boo#1040313、CVE-2017-11627boo#1050577、CVE-2017-11626boo#1050578、CVE-2017-11625boo#1050579、CVE-2017-11624boo#1050581を修正します
- バージョン 6.0.0 に更新してください
- 5.2.0がABIを中断させて以降の共有ライブラリのバージョンをバンプします。
- バージョン 5.2.0 に更新してください
- 暗号化されていないファイルの決定性/IDをサポートします。
これはデフォルトではオフになっています。
- より多くの無効な相互参照テーブルを処理します
ソリューション
影響を受けるqpdfパッケージを更新してください。参考資料
http://www.nessus.org/u?70db0b82
https://bugzilla.opensuse.org/show_bug.cgi?id=1040311
https://bugzilla.opensuse.org/show_bug.cgi?id=1040312
https://bugzilla.opensuse.org/show_bug.cgi?id=1040313
https://bugzilla.opensuse.org/show_bug.cgi?id=1050577
https://bugzilla.opensuse.org/show_bug.cgi?id=1050578
https://bugzilla.opensuse.org/show_bug.cgi?id=1050579
プラグインの詳細
深刻度: High
ID: 106894
ファイル名: openSUSE-2018-176.nasl
バージョン: 3.3
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2018/2/20
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Medium
基本値: 6.8
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS v3
リスクファクター: High
基本値: 7.8
ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:cups-filters, p-cpe:/a:novell:opensuse:cups-filters-cups-browsed, p-cpe:/a:novell:opensuse:cups-filters-cups-browsed-debuginfo, p-cpe:/a:novell:opensuse:cups-filters-debuginfo, p-cpe:/a:novell:opensuse:cups-filters-debugsource, p-cpe:/a:novell:opensuse:cups-filters-devel, p-cpe:/a:novell:opensuse:cups-filters-foomatic-rip, p-cpe:/a:novell:opensuse:cups-filters-foomatic-rip-debuginfo, p-cpe:/a:novell:opensuse:cups-filters-ghostscript, p-cpe:/a:novell:opensuse:cups-filters-ghostscript-debuginfo, p-cpe:/a:novell:opensuse:libqpdf18, p-cpe:/a:novell:opensuse:libqpdf18-debuginfo, p-cpe:/a:novell:opensuse:qpdf, p-cpe:/a:novell:opensuse:qpdf-debuginfo, p-cpe:/a:novell:opensuse:qpdf-debugsource, p-cpe:/a:novell:opensuse:qpdf-devel, cpe:/o:novell:opensuse:42.3
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
パッチ公開日: 2018/2/19
参照情報
CVE: CVE-2017-11624, CVE-2017-11625, CVE-2017-11626, CVE-2017-11627, CVE-2017-12595, CVE-2017-9208, CVE-2017-9209, CVE-2017-9210