Mandriva Linux セキュリティアドバイザリ:poppler(MDVSA-2013:272)

high Nessus プラグイン ID 71027

概要

リモート Mandriva Linux ホストには、1 つ以上のセキュリティ更新がありません。

説明

更新済みの poppler パッケージでは、以下のセキュリティ脆弱性を修正しています:

Poppler は、pdfseparate ユーティリティにおけるスタックベースのバッファオーバーフローの脆弱性の影響を受けることが見つかりました。この問題の悪用に成功すると、リモートの攻撃者が、影響を受けるアプリケーションのコンテキストで任意のコードを実行できる可能性があります。悪用に失敗すると、サービス拒否状態が引き起こされる可能性があります(CVE-2013-4473)。

Poppler は、ユーザーが制御する書式文字列の脆弱性が存在することが見つかりました。これは、ユーザー指定の入力のサニタイズに失敗するためです。攻撃者が、この問題を悪用して、脆弱なアプリケーションのコンテキストで任意のコードを実行する可能性があります。悪用に失敗すると、サービス拒否状態が引き起こされる可能性が高くなります(CVE-2013-4474)。

ソリューション

影響を受けるパッケージを更新してください。

関連情報

http://advisories.mageia.org/MGASA-2013-0332.html

プラグインの詳細

深刻度: High

ID: 71027

ファイル名: mandriva_MDVSA-2013-272.nasl

バージョン: 1.6

タイプ: local

公開日: 2013/11/22

更新日: 2021/1/6

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

Base Score: 7.5

Temporal Score: 6.5

ベクトル: AV:N/AC:L/Au:N/C:P/I:P/A:P

現状ベクトル: E:ND/RL:OF/RC:C

脆弱性情報

CPE: p-cpe:/a:mandriva:linux:lib64poppler-cpp-devel, p-cpe:/a:mandriva:linux:lib64poppler-cpp0, p-cpe:/a:mandriva:linux:lib64poppler-devel, p-cpe:/a:mandriva:linux:lib64poppler-gir0.18, p-cpe:/a:mandriva:linux:lib64poppler-glib-devel, p-cpe:/a:mandriva:linux:lib64poppler-glib8, p-cpe:/a:mandriva:linux:lib64poppler19, p-cpe:/a:mandriva:linux:poppler, cpe:/o:mandriva:business_server:1

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2013/11/21

参照情報

CVE: CVE-2013-4473, CVE-2013-4474

BID: 63368, 63374

MDVSA: 2013:272