Выполнение произвольного кода в Xpdf и CUPS

Дата публикации:
21.01.2005
Всего просмотров:
857
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: Xpdf версии до 3.00pl3m, CUPS

Описание:
Уязвимость в просмотрщике pdf документов Xpdf позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Уязвимость существует в файле 'xpdf/Decrypt.cc' в функции 'Decrypt::makeFileKey2' при обработке /Encrypt /Length тега. Удаленный пользователь может создать специально сформированный pdf документ, вызвать переполнение стека и выполнить произвольный код на целевой системе с привилегиями текущего пользователя.

CUPS использует уязвимый код для печати pdf документов. Удаленный пользователь может с помощью специально сформированного pdf файла выполнить произвольный код на уязвимой системе с привилегиями cupsys пользователя.

URL производителя:
http://www.foolabs.com/xpdf/
http://www.cups.org

Решение: Установите обновление от производителя
ftp://ftp.foolabs.com/pub/xpdf/xpdf-3.00pl3.patch

Ссылки: Multiple Unix/Linux Vendor Xpdf makeFileKey2 Stack Overflow

или введите имя

CAPTCHA