openSUSE 16 セキュリティ更新:apache-pdfbox(openSUSE-SU-2026:20923-1)

medium Nessus プラグイン ID 320426

Language:

概要

リモートの openSUSE ホストに 1 つ以上のセキュリティ アップデートがありません。

説明

リモートの openSUSE 16 ホストに、複数の脆弱性の影響を受けているパッケージがインストールされています。これらの脆弱性は openSUSE-SU-2026:20923-1 アドバイザリで言及されています。

バージョン 2.0.36 に更新してください。

セキュリティの問題を修正:

- CVE-2026-33929:「ExtractEmbeddedFiles」サンプルコードのパストラバーサルにより、任意のファイルが書き込まれる可能性があります(bsc#1262046)。

その他の更新およびバグ修正:

- バージョン 2.0.36:
- XMPBox がシリアル化で名前空間を削除する
- PDFA-1b 検証の偽陰性:フィールドタイプの欠如
- PlainText.Paragraph.getLines が長い行で非常に遅くなります
- 有効な PDF/A 1B が拒否される
- BaseParser での潜在的なスタックオーバーフロー
- Huffman RLE ストリームの不明なコード
- IllegalArgumentException:長さゼロのテキストに属性を追加できません
- TTFSubsetter.buildGlyfTable() は、そのエントリで反復する間に glyphIds を変更します。これにより、ConcurrentModificationException がスローされる可能性があります
- Type1CharStringParser.processCallSubr() の IndexOutOfBoundsException
- 例外:PDF/A-4 ドキュメントのバージョンを決定しようとする際に、{http://www.aiim.org/pdfa/ns/id/}rev に型が定義されていません
- 新しい PDF/A-4 準拠レベルを許可する
- Maven Central のpdfbox-app-X.X.X-sources.jarが空です(javadoc jar がありません)
- Cmd 行ドキュメント
- IllegalArgumentException:2 つのマトリックスを乗算すると、PDFStreamEngine.processAnnotation() に不正な値が生成されます
- XmpParsingException: スキーマはこのドキュメントでは設定されていません:
http://ns.adobe.com/xap/1.0/sType/ResourceEvent#
- FontMapperImpl.getFontMatches() の NullPointerException
- 幅が 0 の場合、FDFAnnotation の境界線スタイルが初期化されません
- ドイツ語のウムラウトはレンダリングされません
- XML 属性内のスキーマの無効なタイプが検出されません
- シリアル化によって生成される日付 1-01-01T00:00:00+01:00
- 日付 D:2015-02-03T10:11:12 の秒が 0 として返されました
- XMPMediaManagementSchema の DerivedFrom プロパティゲッターの分かりにくい命名
- XMPMediaManagementSchema.getHistory() の ClassCastException
- IllegalArgumentException:StandardSecurityHandler.computeRC4key() の入力バッファが短すぎます
- IllegalArgumentException:横RASTERIZE_DPI_AUTOで回転した印刷の場合、幅(0)と高さ(0)を<= 0にすることはできません
- DateConverter が有効な日付で失敗します
- ClassCastException:クラス org.apache.xmpbox.type.TextType を DublinCoreSchema.getCreatorsProperty() のクラス org.apache.xmpbox.type.ArrayProperty にキャストできません
- tiff:YCbCrSubSampling と tiff:YCbCrPositioning のカーディナリティが間違っています
- ClassCastException:クラス org.apache.xmpbox.type.FlashType
- 名前空間 http://www.w3.org/1999/02/22-rdf-syntax-ns#プロパティの定義が見つかりません:
rdf:説明 http://ns.adobe.com/xap/1.0/sType/ResourceEvent#、プロパティ:stEvt:アクション
- XmpParsingException:lenient モードのタイプ定義に pdfaSchema:property がありません
- XmpParsingException:不明なプロパティ値の型:整数から自由に選択
- XmpParsingException:プロパティ「CountryCode」が http://www.epo.org/patent-bibliographic-data/1.0/
- 日付: 0-00-00T00:00:00-04:00 : 0002-11-30T00:00:00-40:00 と読み取る
- XmpParsingException:「stRef:documentName」が lenient モードの http://ns.adobe.com/xap/1.0/sType/ResourceRef# で定義されていません
- 無効な PDF/A 名前空間の定義、プレフィックス:xmlns、名前空間: http://www.aiim.org/pdfa/ns/extension/ http://www.aiim.org/pdfa/ns/extension/、プロパティ:pdfaExtension:schemas
- PredictorOutputStream() の NegativeArraySizeException
- PDAcroForm.getField での NullpointerException(485 行目)
- PDF からテキストを抽出しようとする際に OutOfMemoryError が発生します
- 循環参照の脆弱性の概要
- レンダリングされたテキストの欠如
- デコード配列の拡大による画像の反転
- PDF は Adobe Reader で文字化けしましたが、Web ブラウザでは正しくレンダリングされます
- 出力意図と PDF をマージする際の NullPointerException
- 有効な XMP 拡張スキーマが拒否されました
- PDFMarkedContentExtractor からデッドコードを削除します
- テストクラスにテストファイルを含めます
- PageTextSchema の取得および追加
- TypeMapping.getAssociatedSchemaObject() を削除/廃止します
- 緩やかなモードでの Seq/Bag の混同をサポート
- 処理命令のない緩やかなモードでの XMP ファイルの解析
- getPDFIdentificationSchema() を廃止し、getPDFAIdentificationSchema() を優先
- FillOrder=2 の PDF への変換での TIFF ファイルをサポート
- PDIndexed の未使用の部分を削除/廃止します
- RAT 除外を近代化
- バージョン 2.0.35:
- 巨大なフォントを含む PDF ファイルでの NegativeArraySizeException
- マルチバイト改行トークンによるインライン画像のバグ
- デフレート操作の初期 ByteArrayOutputStream サイズを修正します
- PDF のレンダリングに 1 時間かかります
- スプリッターが、最初の分割を過ぎたドキュメントに構造ツリーを含めません
- ビルドが jdk11 で失敗する
- Mac OS からの TTF フォントをロードして例外をスローします
- PDFBOX-5790 以降の不適切なグリフ
- PDEmbeddedFilesNameTreeNode.convertCOSToPD() の中の破損したファイルの ClassCastException
- クラスパスで Apache Xalan を使用する際に無効な XMP が生成されます
- XMP JobType コンストラクターが fieldPrefix を無視します
- 日付が空の場合の xmpbox シリアライザでの NullPointerException
- type 2 シェーディングのレンダリング問題:垂直展開
- シェーディングコードでの無限ループの可能性
- XrefStreamParser における潜在的な OOM
- PDFStreamParser における潜在的なスタックオーバーフロー
- PDPageTree の getInheritableAttribute での潜在的なスタックオーバーフロー
- Type1Lexer における潜在的な OOM
- PfbParser における潜在的な OOM
- PDMarkedContentReference.setMCID() は負の数を受け入れるべきではありません
- IllegalPathStateException:パス定義の初期 moveto の欠落
- 潜在的な ClassCastException を修正します
- COSDictionary の NullPointerException
- PlainText$Paragraph.getLines() の StringIndexOutOfBoundsException
- LZWFilter がクラッシュします。おそらく KwKwK の特別なケースを処理していません
- PDNumberTreeNode.getNumbers() の NullPointerException
- UnsupportedOperationException:JPX カラースペースは描画をサポートしません
- 署名が古い署名の byteRange を設定しようとします(2)
- PDOptionalContentProperties.getBaseState() の ClassCastException
- 組み込みファイルのテストを追加します
- ByteArrayOutputStreams のサイズを設定します
- 16 進値の解析時に一時オブジェクトの作成を回避
- 不要なマップ入力を回避します
- 不要な反復と StringBuilder の作成を削除します
- 印刷の横向きを逆にサポート
- オーファン注釈のテストカバレッジを追加します
- オーファンポップアップの親注釈を削除します
- 出力を検証することにより、XmpSerializer テストを向上します
- オーバーレイを適用する際にページの回転を考慮
- 署名時に Perms 辞書を保存
- /K ツリーに対して /ParentTree をチェック
- 5521 のテストを追加
- RC4Cipher をリファクタリングします
- の回帰テスト 2.0.35
- バージョン 2.0.34:
- PageDrawer が、回転したページに回転できない注釈をレンダリングしません
- 生成された PDF にゼロ幅の非ジョイナー文字が表示される
- テキスト抽出時に、発音区別符号が結合されているサロゲートペアの順序が正しくありません
- TestCreateSignature.testCreateSignedTimeStamp checkLTV ビルドテストの失敗(2)/複数の発行者をサポート
- IllegalArgumentException:幅(0)と高さ(0)はゼロ以外でなければならない
- 特定の特性を持つドキュメントをマージすると、スタックオーバーフローが発生します - InvalidKeyException:指定されたキー(sun.security.ec.ECPrivateKeyImpl)は RSAPrivateKey ではありません
- 埋め込まれた Type1 フォントを読み取れません:トークン[kind=NAME,text=def]が見つかりましたが、開始が予期されていました
- 増分保存後のトレーラーでの誤ったサイズエントリ
- FileSystemFontProvider は、失敗した type1 フォントを登録しません
- Adobe シンボルフォントを使用する際、テキスト注釈の十字線シンボルが小さすぎます
- マージで保持されている Orphan /OpenAction 宛先ページ
- PDFRenderer が無限ループを引き起こします
- 無効なストリームの長さ:0、ストリーム開始位置: <xxx>
- インライン画像の解析の誤り(2)
- IllegalArgumentException:有効な Unicode コードポイントではありません:0xE28496
- Type 3 フォントグリフが表示されません
- レンダリングされた PDF にシェーディングパターングラフィックスがありません
- マージ中の NPE
- PDDestinationNameTreeNode の構築におけるクラスキャストの例外
- DomXmpParser が、属性レベルで名前空間を不適切に予期します
- BDC プロセッサがプロパティ名を不適切に処理します
- 一部の Type1C フォントをレンダリングできません。
- PDF から画像への変換で、空白の白ページになります
- PDFormXObject.setGroup() を実装します
- CertificateVerifier.isSelfSigned() は例外をスローしてはいけません
- クロステキスト注釈に Zapf Dingbats コードを使用します
- PushPin、Tag、Graph ファイルの添付注釈アイコンをサポート
- PDFMergerUtility メモリフットプリントを改善します
- R=4、キーの長さが 128 ビット<、まれな RC4 暗号化をサポートします
- checkWithNumberTree() テストを改善します
- ドキュメント ID に MD5 の代わりに SHA256 を使用
- バージョン 2.0.33:
- 文字の位置がずれた
- テキストの抽出が間違っています(単語が壊れています)
- 無色のタイリングパターンの色が間違っている
- OutOfMemoryError - renderImageWithDPI 中
- 数値の後に「e」で始まる文字列が続く場合、BaseParser が失敗します
- Type3 フォントがレンダリングされません
- ウィジェットの注釈にページがない場合、フラット化によってすべての注釈が削除されます
- ページレンダリングで画像が失われる
- アラビア語テキストを抽出する際の余分な空白
- SMaskInData は JPX 画像でサポートされていません
- Kid Widget /DA が setDefaultAppearance() 呼び出しで無視される
- ラジオボタンを設定できない
- PDDocument.documentId がフラットな byteStream に書き込まれていないようです
- PDFBox は ID を削除できません
- ビルドプロセスの最終ステップを修正します
- AppearanceGeneratorHelper の StringIndexOutOfBoundsException
- SetLineJoinStyle.process() の ClassCastException
- パスワードで保護された PDF をロードできません
- PDFBox は非ラテン言語(タミル語、ベンガル語)のテキストを適切に抽出しませんが、Adobe Reader のテキストとして保存はします
- チェックスタイル
- [パッチ] メタデータに依存せずに CMYK 画像を検出します
- PDFBOX-5841 からの回帰:ページ内に複数のコンテンツストリームがある PDF の場合、回転マジックによるテキスト抽出が失敗します
- PDF が空白ページをレンダリング:ストリームの終わりが正しいオフセットを指していません。回避策を使用してストリームを読み取ります、ストリームの開始位置:196、長さ:0、予想される終了位置:196
- Lucene ライブラリの CVE
- PDFBox で作成されたパターンでは、Safari と Adobe の間で色が一貫していません。
- MCID の代わりにリソース参照を使用する BDC シーケンス
- PDFieldFactory.findFieldType の StackOverflowError
- AnnotationValidator の ClassCastException
- サイズが 85.6 MB の PDF ファイルの CPU 使用率が異常です
- ページのレンダリング時に、多くの ZapfDingbats シンボルが表示されません。
- 分離読み取り時の IOException +
- IllegalArgumentException:RandomAccessReadBuffer コンストラクターの容量 < 0:(-75475220 < 0)
- FontBox は、「cmd」サブプロセスを生成して環境変数を読み取る(Windows)
- PDF 2.0 ダッシュフェーズの明確化を実装します(2)
- 特定の PDF が renderImageWithDPI 呼び出しで失敗します
- PDType0Font が無効なスペース幅を返します
- テキスト注釈のアイコンが大きすぎる場合があります
- 孤立しているページチェックで、注釈先がチェックされません
- COSArray.indexOfObject の NPE
- PagePane.mouseMoved() の NPE
- CMap.toInt() の ArrayIndexOutOfBoundsException
- 署名辞書の ASN.1 デコードコンテンツを表示します
- TextToPDF コンポーネントで、ハードコードされた値を変数と交換し、コマンドラインオプションを提供します
- 特定の PDF のフォントの長いレンダリング時間
- JPEG2000 デコード用に imageio-jnr / imageio-openjpeg ライブラリをサポートします
- ExtractTTFFonts を改善します
- フォントキャッシュを再構築する際に、ログレベルを警告から情報に変更します
- OCG 可視性表現をサポート
- ページゲッター/セッターを PDObjectReference に追加します
- COSInteger オブジェクトの長い値のサポート
- PDViewerPreferences 用の空のコンストラクター
- /P のチェックを PDFMergerUtilityTest に追加
- コマンドラインからの Markdown 抽出をサポートします
- ラスターで印刷するときに dpi を動的に計算
- 構造ツリーのオーファン注釈を削除します
- PrintTextLocations にフォント名を追加
- 印刷でも表示でも検出を改善
- タイプ 4 シェーディングで PDF を変換する際の CPU とメモリの使用率が高くなります
- jdk11 がサポートされなくなったため、 2.0 ビルドが Jenkins で失敗します
- バージョン 2.0.32:
- preflight-app が NoClassDefFoundError により Java 11+ で失敗します: javax/activation/DataSource
- AppearanceGeneratorHelper は、フォントスケール 1000 を想定しています
- リリースサブプロジェクトを削除
- ToUnicode CMap が存在する場合、事前定義された CMap を使用しません
- スプリッターの回帰 NPE
- 指定したフォントの内容が失われ、Google Chromeで表示される可能性があります
- 不適切な背景色コンポーネントによるソフトマスクのクラッシュ
- 観察可能なタイミング不一致(タイミング攻撃)
- 画像上の黒い長方形
- Wingdings のフォントの誤った代替
- PDDocument#importPage の速度を 1300 倍低下
- 破損した宛先で中止を分割します
- IllegalArgumentException:パラメーターは 1 ベースでなければなりませんが、PDFTextStripperByArea を使用する場合は 0 です
- PDFMergerExample で作成されたファイルは正しくありません PDF/A です
- メタデータの /subtype および /type の欠如が検出されません
- 異なる PDF に対する org.apache.fontbox.ttf からの複数の例外
- IOException:浮動小数点 numberactual='-12.-1' のエラーが予想されます
- NullPointerException:uni が null であるため、String.codePointAt(int) を呼び出せません
- DomXmpParser - IllegalArgumentException:QName の作成時にプレフィックスを NULL にできません
- ClassCastException:org.apache.pdfbox.cos.COSNull を org.apache.pdfbox.cos.COSDictionary にキャストできません
- IllegalArgumentException: 幅 (26) と高さ (0) はゼロ以外でなければなりません
- 埋め込みフォントを取得するときに例外がありますが、互換性はありますか?
- PDF/巨大な結果ファイルを分割して保存した後の無限ループ
- JPEGFactory。イメージメタデータが存在しない場合にロギングの重要度を下げます
- サロゲートペア文字のテストを追加します??12
- unicode Scripts.txtを更新します
- CreatePDFATest のために VeraPDF で PDFA チェックを含めます
- centerコンストラクターパラメーターをPDFPageable および pdfbox-app に追加します
- 分割する際に、ターゲットドキュメントの一部である名前付きページの保存先を保持します
- この PDF を f 演算子でレンダリングすると、黒い画面が表示されます。
- ビルドテスト中に応答に間違ったノンス値が含まれている理由を調査します
- バージョン 2.0.31:
- [パッチ] PDF の分割によりアクセシビリティタグが失われます
- 画像ストリームにアクセスせずに PDFXObjectImage を作成できるようにします
- PfbParser が、複数のバイナリレコードがある PFB フォントの解析に失敗します。
- MacOS で印刷すると線が消える
- java.lang.IllegalArgumentException:提供される辞書のタイプが「COSName{OCG}」ではありません
- 埋め込まれたフォントである DroidSansFallbackFull は解析時にエラーを報告し、最終的には lastResortFont を使用するため、文字化けしたフォントになります。
- COSName はすでにキャッシュされた hashCode をキャッシュします
- フォントの操作に時間がかかる 3.0.1
- TTFSubsetter.buildPostTable() の NullPointerException
- PDF から画像への変換の問題(java.awt.color.CMMException:指定されたプロファイルにアクセスできません)
- PDNonTerminalField のデフォルト値を設定します
- java.lang.ArrayIndexOutOfBoundsException バグレポート
- PDFBOX-5488 以降の PDF の不適切な色
- Java 7 のサポート 2.0
- 画像例外に変換
- この形式の PDF 変換は非常に遅くなります。最適化の余地はありますか?
- IllegalArgumentException: -Infinity は有限数ではありません
- 既存の署名フィールドで署名する際の一貫性のない署名ページの処理
- MacOSRomanEncoding の 8 進値に対して先行 0 を追加します
- DataFormatException:無効な距離が遡りすぎます
- グレースケール JPEG レンダリングマルチカラー
- FileSystemFontsProvider.scanFonts の OutOfMemoryError
- PageDrawer.getPaint() の NPE
- 組み込まれたフォントおよび子孫フォントによる問題
- LCMS エラー 13:アルファチャネルの不一致
- Apache PDFBox でネイティブマークダウン抽出を有効にします
- 分割する際に、ターゲット文書の一部であるページ保存先を保持します
- 例外を一部の修復試行で置換します
- バージョン 2.0.30:
- ハングル文書の回帰ユニコードマッピング
- 演算子 q と q もテキスト行列を保持する必要があります
- PDFBox で開始すると、署名画像がレンダリングされません 2.0.23
- 増分保存時にフォントがサブセットされません
- PDFMergerUtility#mergeFields のバグ
- パスワードで保護された PDF が GUI アプリで開くが、PDFbox に無効なパスワードが表示されます
- 間違ったエラーメッセージ 2.4.1 :無効なカラースペース、演算子 rg は CMYK プロファイルで使用できません
- FDF 注釈を仕様に対してより適合させます
- DomXmpParser.parseLiDescription 内の NPE
- 回帰:PDFXrefStreamParser の NoSuchElementException
- PageDrawer.strokePath メソッドがブロックされ、cpu100%
- CFF2 ベースのフォントを処理する際の NPE を回避
- IllegalArgumentException:寸法(width=458477041 height=26)が大きすぎます
- チェックボックスチェックを表示できない
- PDF を画像に変換する際の NPE。
- XMPMetadata.getSchema() の NullPointerException
- PDFToImage が、サポートされていない画像フォーマットを適切に検出しない可能性があります
- フォントキャッシュがマシンで効果がなく、常にリビルド
- PDF から画像への変換により、異なる画像が変換されます
- PDF を画像に変換すると、特定のフォントのテキストが失われます
- PDF からの画像の不適切な色(DCTDecode)
- 不整合/不完全な PDF レンダリング
- コードの質を改善します(4)
- PDRectangle#TABLOID 用紙サイズを追加
- MaximumProfileTable のバージョン 0.5 をサポート
- CFF アウトラインを使用する TTF/OTF フォントに対して、loca-table は必須ではありません
- PDF 2.0 ダッシュフェーズの明確化を実装します
- PDAcroForm の下の CO 配列にゲッターとセッターを追加します
- UTC タイムゾーンを静的にします
- PDFBox への移行を促進 3.0
- bouncycastle 構成を統合します
- pom.xmlの一貫した scm.url 値
- 列挙型に比較演算子を使用します

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける apache-pdfbox および/または apache-pdfbox-javadoc パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1262046

https://www.suse.com/security/cve/CVE-2026-3392

https://www.suse.com/security/cve/CVE-2026-33929

プラグインの詳細

深刻度: Medium

ID: 320426

ファイル名: openSUSE-2026-20923-1.nasl

バージョン: 1.2

タイプ: Local

エージェント: unix

公開日: 2026/6/11

更新日: 2026/6/11

サポートされているセンサー: Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

基本値: 4.6

現状値: 3.6

ベクトル: CVSS2#AV:L/AC:L/Au:S/C:N/I:N/A:C

CVSS スコアのソース: CVE-2026-3392

CVSS v3

リスクファクター: Medium

基本値: 5.5

現状値: 5

ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS v4

リスクファクター: Medium

Base Score: 4.8

Threat Score: 1.9

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N

脆弱性情報

CPE: cpe:/o:novell:opensuse:16.0, p-cpe:/a:novell:opensuse:apache-pdfbox-javadoc, p-cpe:/a:novell:opensuse:apache-pdfbox

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2026/6/8

脆弱性公開日: 2026/3/1

参照情報

CVE: CVE-2026-3392, CVE-2026-33929