検出

Poppler 0.74の複数の脆弱性

high Nessus プラグイン ID 127045

Language:

概要

リモートホストにインストールされているパッケージが複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされているPopplerのバージョンは 0.74 です。したがって、以下の複数の脆弱性の影響を受けます。- Poppler 0.74.0に問題が見つかりました。JBIG2Stream.ccにあるJBIG2Stream::readGenericBitmap()の再帰的な関数呼び出しは、細工されたpdfファイルを(たとえば)pdfseparateバイナリに送信することでトリガーされる可能性があります。攻撃者がサービス拒否(セグメンテーション違反)を引き起こしたり、詳細不明なその他の影響を及ぼしたりする可能性があります。これは、JArithmeticDecoder::decodeBitに関連しています。(CVE-2019-9543)-Poppler 0.74.0のPDFDoc.ccのPDFDoc::markObjectはdictマーキングを誤って処理し、Dict.ccにある関数Dict::find()のスタック消費を引き起こします。これは、(たとえば)細工されたpdfファイルをpdfuniteバイナリに渡すことでトリガーされます。(CVE-2019-9903)Nessusはこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

利用可能になりしだい、Popplerのパッチ適用バージョンにアップグレードしてください。

参考資料

https://gitlab.freedesktop.org/poppler/poppler/issues/741

https://gitlab.freedesktop.org/poppler/poppler/issues/730

プラグインの詳細

深刻度: High

ID: 127045

ファイル名: poppler_0_75.nasl

バージョン: 1.5

タイプ: local

エージェント: unix macosx

ファミリー: Misc.

公開日: 2019/7/26

更新日: 2024/5/8

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2019-9543

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:freedesktop:poppler

必要な KB アイテム: Host/local_checks_enabled

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2019/3/21

脆弱性公開日: 2019/3/13

参照情報

CVE: CVE-2019-9543, CVE-2019-9903

BID: 107238, 107560

IAVB: 2019-B-0064-S