CERT-FI haavoittuvuustiedote 043/2003

23.6.2003

Haavoittuvuus UNIX/Linux PDF-lukuohjelmistoissa


Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

PDF-dokumentti (Portable Document Format) on käyttöjärjestelmäriippumaton formaatti, joka säilyttää dokumenttien sisältämät tiedot muuttumattomina siirryttäessä käyttöjärjestelmäympäristöstä toiseen. Eri tyyppiset PDF-dokumenttien lukuohjelmistot ovat laajassa käytössä eri tietojärjestelmissä. Esimerkkeinä tällaisista UNIX/Linux-käyttöjärjestelmäympäristön PDF-dokumenttien lukuohjelmistosta voidaan mainita Xpdf-ohjelmisto sekä Adobe Reader-ohjelmisto.

Useasta UNIX/Linux-käyttöjärjestelmäympäristöjen PDF-dokumenttien lukuohjelmistoista (viewers/readers) on löytynyt haavoittuvuus. Haavoittuvuus liittyy PDF-lukuohjelmistojen tapaan käsitellä PDF-dokumenttien sisältämiä hyperlinkkejä. Hyökkääjän voi olla mahdollista kätkeä hyperlinkkeihin omia komentojaan. Nämä komennot suoritetaan, kun kohdetietojärjestelmän käyttäjä klikkaa tällaista hyökkääjän manipuloimaa linkkiä. Komennot suoritetaan kohdetietojärjestelmän käyttäjän oikeuksin.

HAAVOITTUVAT OHJELMISTOT:

Haavoittuvuudelle alttiita UNIX/Linux-lukuohjelmistoja ovat esimerkiksi:

Xpdf
Adobe Readers for UNIX/Linux

Lisätietoa muista haavoittuvista ohjelmistoista saa esimerkiksi osoitteesta:

http://www.kb.cert.org/vuls/id/200132

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva PDF-dokumenttien lukuohjelmisto korjaustiedostolla tai turvallisella ohjelmistoversiolla. Lisätietoa korjaustiedostoista sekä uusista ohjelmistoversioista saa esimerkiksi osoitteesta:

http://www.kb.cert.org/vuls/id/200132