Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Poppler < 0.61 Betroffene Plattformen: Red Hat Fedora 26 Red Hat Fedora 27 Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe einer manipulierten PDF-Datei einen Denial-of-Service (DoS)-Angriff durchführen. Voraussetzung ist, dass es ihm gelingt einen Nutzer dazu zu verleiten, eine solche Datei zu öffnen. Für Fedora 26 und 27 stehen Backport-Sicherheitsupdates in Form der Pakete 'poppler-0.52.0-11.fc26' und 'poppler-0.57.0-7.fc27' im Status 'testing' zur Behebung der Schwachstelle bereit. Patch: Fedora Security Update FEDORA-2018-048468d7a8 (Fedora 27, poppler-0.57.0-7.fc27) https://bodhi.fedoraproject.org/updates/FEDORA-2018-048468d7a8
Patch:
Fedora Security Update FEDORA-2018-20ba39cba9 (Fedora 26,
poppler-0.52.0-11.fc26)
https://bodhi.fedoraproject.org/updates/FEDORA-2018-20ba39cba9
CVE-2017-1000456: Schwachstelle in libpoppler ermöglicht
Denial-of-Service-Angriff
In der Funktion ‘TextPool::addWord’ von libpoppler existiert eine
Schwachstelle aufgrund ungenügender Prüfung von Eingaben. In der Folge kommt
es zu einem Überlauf (Overflow) des Speichers und damit zum Absturz der
Anwendung, welche libpoppler verwendet.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0042/
Schwachstelle CVE-2017-1000456 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-1000456
Fedora Security Update FEDORA-2018-048468d7a8 (Fedora 27,
poppler-0.57.0-7.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-048468d7a8
Fedora Security Update FEDORA-2018-20ba39cba9 (Fedora 26,
poppler-0.52.0-11.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-20ba39cba9
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
