Oracle Linux 3/4：xpdf（ELSA-2009-0430）

high Nessus プラグイン ID 67845

Language:

概要

リモート Oracle Linux ホストにセキュリティ更新がありません。

説明

Red Hat セキュリティアドバイザリ 2009:0430 から：

複数のセキュリティ問題を修正する更新済みの xpdf パッケージが Red Hat Enterprise Linux 3 および 4 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新に重大なセキュリティインパクトがあると評価しています。

Xpdf は、ポータブル・ドキュメント・フォーマット（PDF）ファイル用の X Window System ベースのビューアーです。

Xpdf の JBIG2 デコーダーに、複数の整数オーバーフローの欠陥が見つかりました。攻撃者が、悪意ある PDF ファイルを作成し、これが開かれた場合に、 Xpdf をクラッシュさせたり、任意のコードを実行したりする可能性があります。
（CVE-2009-0147、 CVE-2009-1179）

Xpdf の JBIG2 デコーダーで複数のバッファオーバーフローの欠陥が見つかりました。攻撃者が、悪意ある PDF ファイルを作成し、これが開かれた場合に、 Xpdf をクラッシュさせたり、任意のコードを実行したりする可能性があります。
（CVE-2009-0146、 CVE-2009-1182）

Xpdf の JBIG2 デコーダーで複数の欠陥が見つかりました。これにより、任意のメモリが解放される可能性があります。攻撃者が、悪意ある PDF ファイルを作成し、これが開かれた場合に、 Xpdf をクラッシュさせたり、任意のコードを実行したりする可能性があります。（CVE-2009-0166、 CVE-2009-1180）

Xpdf の JBIG2 デコーダーで複数の入力検証の欠陥が見つかりました。攻撃者が、悪意ある PDF ファイルを作成し、これが開かれた場合に、 Xpdf をクラッシュさせたり、任意のコードを実行したりする可能性があります。
(CVE-2009-0800)

Xpdf の JBIG2 デコーダーで複数のサービス拒否の欠陥が見つかりました。
攻撃者が、悪意ある PDF を作成し、これが開かれた場合に、Xpdf をクラッシュさせる可能性があります。（CVE-2009-0799、 CVE-2009-1181、CVE-2009-1183）

Red Hat は、Apple 製品セキュリティチームの Braden Thomas 氏と Drew Yao 氏、並びに CERT/CC の Will Dormann 氏によるこの欠陥の報告に感謝の意を表します。

ユーザーは、バックポートされたパッチが含まれるこの更新済みパッケージにアップグレードし、これらの問題を修正することが推奨されます。