Forum » Verschiedenes » Allgemein
- Werbung -

Sicherheitslücke in xpdf, kpdf und CUPS

1 Beitrag / 0 neu
Zum Verfassen von Kommentaren bitte Anmelden.
21. Januar 2005 - 20:19
#1
Gast (nicht überprüft)
Sicherheitslücke in xpdf, kpdf und CUPS

######################################################################

CERT-Bund -- Warn- und Informationsdienst

######################################################################

KURZINFORMATION ZU SCHWACHSTELLEN UND SICHERHEITSLUECKEN

ID: CB-K05/0047
Titel: Pufferueberlauf in xpdf ermoeglicht Ausfuehrung beliebigen Programmcodes
Datum: 20.01.2005
Software: xpdf
Version: 3.x < 3.00pl2, wahrscheinlich auch fruehere Versionen Plattform: Unix, Linux
Auswirkung: Ausfuehren beliebigen Programmcodes mit Benutzerrechten
Remoteangriff: Ja
Risiko: hoch
Bezug:

######################################################################

Es wurde eine Schwachstelle in der Funktion 'Decrypt::makeFileKey2'
von xpdf bei der Verarbeitung von '/Encrypt /Length'-Tags gemeldet.
Ein entfernter Angreifer kann ein speziell manipuliertes PDF-Dokument
erstellen, welches bei der Verarbeitung durch xpdf einen
Pufferueberlauf ausloest und beliebigen Programmcode mit den Rechten
des Benutzers ausfuehrt.

Von der Schwachstelle betroffen sind auch kpdf sowie der Druckserver
von CUPS, da diese den entsprechenden Programmcode von xpdf
verwenden.

Weitere Informationen finden Sie unter:

[1]
[2]
[3]
[4]
[5]

Mit freundlichen Gruessen
das Team CERT-Bund

=================================================================
BSI - Bundesamt fuer Sicherheit in der Informationstechnik
Referat I 2.1 CERT-Bund

Telefon +49-228-9582-110 / FAX +49-228-9582-427
/
=================================================================

=======================================================================
HINWEIS:
Die Inhalte dieser Meldung repraesentieren den Kenntnisstand des BSI
zum Zeitpunkt der Versendung. Eine Haftung fuer eventuelle Schaeden
oder Konsequenzen, die durch die direkte oder indirekte Nutzung der
Inhalte entstehen, wird ausgeschlossen.
Diese Meldung kann unter Einhaltung des Urheberrechts im vollstaendigen
Wortlaut, ohne Aenderungen und mit BSI-Copyright-Informationen kopiert
und fuer den persoenlichen und privaten Gebrauch weitergeleitet werden.
Eine kommerzielle Nutzung ist ausdruecklich untersagt.
=======================================================================

Oben
  • Zum Verfassen von Kommentaren bitte Anmelden.