[Fedora] Schwachstellen in xpdf – FEDORA-2010-16662

[Fedora] Schwachstellen in xpdf - FEDORA-2010-16662

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2010-3702 – Schwachstelle in der Funktion Gfx::getPos() von
xpdf/poppler/gpdf

In der Funktion Gfx::getPos() wird beim Oeffnen eines entsprechend
manipulierten PDF-Dokumentes auf einen nicht-initialisierten Zeiger
zugegriffen. Ein entfernter Angreifer kann diese Schwachstelle ausnutzen
um die Anwendung zum Absturz oder schlimmstenfalls beliebige Befehle mit
den Rechten der Anwendung zur Ausfuehrung zu bringen.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket xpdf

Fedora 12
Fedora 13
Fedora 14

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Detlev O. Matthies

– —

Detlev O. Matthies, M.Sc. (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-16662
2010-10-27 21:13:30
– ——————————————————————————–

Name : xpdf
Product : Fedora 13
Version : 3.02
Release : 16.fc13
URL : http://www.foolabs.com/xpdf/
Summary : A PDF file viewer for the X Window System
Description :
Xpdf is an X Window System based viewer for Portable Document Format
(PDF) files. Xpdf is a small and efficient program which uses
standard X fonts.

– ——————————————————————————–
Update Information:

apply xpdf-3.02pl5 security patch to fix CVE-2010-3702, CVS-2010-3704
– ——————————————————————————–
ChangeLog:

* Fri Oct 22 2010 Tom “spot” Callaway – 1:3.02-16
– – apply xpdf-3.02pl5 security patch to fix:
CVE-2010-3702, CVS-2010-3704
– ——————————————————————————–
References:

[ 1 ] Bug #595245 – CVE-2010-3702 xpdf: uninitialized Gfx::parser pointer dereference
https://bugzilla.redhat.com/show_bug.cgi?id=595245
[ 2 ] Bug #638960 – CVE-2010-3704 xpdf: array indexing error in FoFiType1::parse()
https://bugzilla.redhat.com/show_bug.cgi?id=638960
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update xpdf’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)

iEYEARECAAYFAkzUEq0ACgkQWmhIvjFb90UoYACbB/SCujTJ2EWtP4FnYc4yq+iu
XWEAn1YE7XOHig3cez3umH+GpSlxwqtl
=/kHm
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben