Skip to content

Security Advisory 重要(Important):xpdfのセキュリティアップデート

アップデートID:

RHSA-2007:1030-3

タイプ:Security Advisory
重大性:Important
発行日:2007年11月7日
最終更新日:2007年11月7日
影響のある製品: Red Hat Desktop (v. 3)
Red Hat Enterprise Linux AS (v. 3)
Red Hat Enterprise Linux ES (v. 3)
Red Hat Enterprise Linux WS (v. 3)
OVAL: https://rhn.redhat.com/errata/RHSA-2007-1030.html
CVEs (cve.mitre.org): CVE-2007-4033
CVE-2007-4352
CVE-2007-5392
CVE-2007-5393


詳細

複数のセキュリティ問題を修正したxpdfのアップデートパッケージがRed Hat Enterprise Linux 3で利用可能になりました。

このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「重要(Important)」のセキュリティ問題と評価されています。

Xpdfは、X Window Systemベースのポータブルドキュメントフォーマット(PDF)ファイル用ビューアです。

Alin Rad Pop氏がPDFファイルの処理で複数の欠陥を発見しました。攻撃者が悪意のあるPDFファイルを作成することにより、Xpdfをクラッシュさせたり、ファイルが開かれたときに任意のコードを実行したりする可能性があります。(CVE-2007-4352、CVE-2007-5392、CVE-2007-5393)

Type 1フォントの処理で使用されるt1libライブラリで欠陥が見つかりました。攻撃者が悪意のあるファイルを作成することにより、Xpdfをクラッシュさせたり、ファイルが開かれたときに任意のコードを実行したりする可能性があります。(CVE-2007-4033)

ユーザは、これらの問題を解決するバックポートパッチを含む上記アップデートパッケージにアップグレードしてください。


解決法


このアップデートを適用する前に、ご使用のシステムに関係するリリース済みのエラータ/Errataがすべて適用されていることを確認してください。

このアップデートは、Red Hat Networkを通じて入手できます。


アップデートパッケージ

Red Hat Desktop (v. 3)
SRPMS:
xpdf-2.02-11.el3.src.rpm     c7190a0d95f4b3a71fa208dcf97155fc
 
IA-32:
xpdf-2.02-11.el3.i386.rpm     25d6805b4e027543da4b7451dc7c1ccc
 
x86_64:
xpdf-2.02-11.el3.x86_64.rpm     7f907b25b4b172db2c101270f089b3b9
 
Red Hat Enterprise Linux AS (v. 3)
SRPMS:
xpdf-2.02-11.el3.src.rpm     c7190a0d95f4b3a71fa208dcf97155fc
 
IA-32:
xpdf-2.02-11.el3.i386.rpm     25d6805b4e027543da4b7451dc7c1ccc
 
IA-64:
xpdf-2.02-11.el3.ia64.rpm     6b9c03d1eadd1eb8875cc099449ae533
 
PPC:
xpdf-2.02-11.el3.ppc.rpm     eccd1bcb8b7fda5ae5c21b8791aec769
 
s390:
xpdf-2.02-11.el3.s390.rpm     5893cabe5a5bdb457fd9cb848614afa6
 
s390x:
xpdf-2.02-11.el3.s390x.rpm     756789a71f09cdcade453fc651b33611
 
x86_64:
xpdf-2.02-11.el3.x86_64.rpm     7f907b25b4b172db2c101270f089b3b9
 
Red Hat Enterprise Linux ES (v. 3)
SRPMS:
xpdf-2.02-11.el3.src.rpm     c7190a0d95f4b3a71fa208dcf97155fc
 
IA-32:
xpdf-2.02-11.el3.i386.rpm     25d6805b4e027543da4b7451dc7c1ccc
 
IA-64:
xpdf-2.02-11.el3.ia64.rpm     6b9c03d1eadd1eb8875cc099449ae533
 
x86_64:
xpdf-2.02-11.el3.x86_64.rpm     7f907b25b4b172db2c101270f089b3b9
 
Red Hat Enterprise Linux WS (v. 3)
SRPMS:
xpdf-2.02-11.el3.src.rpm     c7190a0d95f4b3a71fa208dcf97155fc
 
IA-32:
xpdf-2.02-11.el3.i386.rpm     25d6805b4e027543da4b7451dc7c1ccc
 
IA-64:
xpdf-2.02-11.el3.ia64.rpm     6b9c03d1eadd1eb8875cc099449ae533
 
x86_64:
xpdf-2.02-11.el3.x86_64.rpm     7f907b25b4b172db2c101270f089b3b9
 
(The unlinked packages above are only available from the Red Hat Network)


バグフィックス (詳細は、bugzilla/バグジラ[英語]を御覧ください。)

345101 - CVE-2007-4352 xpdf memory corruption in DCTStream::readProgressiveDataUnit()
345111 - CVE-2007-5392 xpdf buffer overflow in DCTStream::reset()
345121 - CVE-2007-5393 xpdf buffer overflow in CCITTFaxStream::lookChar()
352271 - CVE-2007-4033 t1lib font filename string overflow


参照


http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4033
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4352
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5392
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5393
http://www.redhat.com/security/updates/classification/#important


ここに在るパッケージはセキュリティの為、Red Hat, Inc. によって、GPG認証されています。
認証キー及び詳細は以下を御覧下さい。
https://www.redhat.com/security/team/key/#package

The Red Hat security contact is secalert@redhat.com. More contact details at http://www.redhat.com/security/team/contact/