CERT-FI haavoittuvuustiedote 077/2004

Haavoittuvuuksia xpdf-ohjelmistossa

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - palvelunestohyökkäys	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Xpdf on Linux- ja Unix-ympäristöissä suosittu PDF-tiedostojen katseluun käytetty avoimen lähdekoodin ohjelmisto. Xpdf-ohjelmistosta on löydetty useita haavoittuvuuksia.

Haavoittuvuuksia voidaan hyväksikäyttää esimerkiksi houkuttelemalla käyttäjä avaamaan tietyllä tavalla muokattu PDF-tiedosto. Hyökkääjä voi haavoittuvuuksia hyväksikäyttämällä kohdistaa tietojärjestelmään palveluestohyökkäyksen ja mahdollisesti suorittaa omia komentojaan kohdejärjestelmässä.

HAAVOITTUVAT OHJELMISTOT:

• Xpdf 2.0

• Xpdf 3.0

• Ohjelmistot, jotka sisältävät xpdf-ohjelmiston lähdekoodia, kuten CUPS, gpdf ja kdegraphic

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva Xpdf-ohjelmisto. Xpdf-ohjelmiston valmistaja ei ole tiettävästi julkaissut virallista päivitystä, mutta päivitys on saatavilla useilta käyttöjärjestelmäjakelijoilta.

Päivitä kaikki Xpdf-ohjelmiston lähdekoodia sisältävät haavoittuvat ohjelmistot.

LISÄTIETOA:

http://www.foolabs.com/xpdf/

http://xforce.iss.net/xforce/xfdb/17818

http://www.securitytracker.com/alerts/2004/Oct/1011865.html

CAN-2004-0888 CAN-2004-0889 CAN-2005-0206

PÄIVITYSHISTORIA:

26.10.2004: Julkaistu

Sivua päivitetty 27.07.2007

Tulostusversio