1 Risque

Exécution de code arbitraire.

2 Systèmes affectés

* Gnome gpdf ;
* Poppler ;
* CUPS ;
* KDE, au moins les versions 3.2.0 à 3.5.8 ;
* KOffice 1.x ;
* Xpdf version 3.02.

3 Résumé

De multiples vulnérabilités dans Xpdf permettent à un individu malveillant
l’exécution de code arbitraire en local.

Ces vulnérabilités affectent les produits utilisant la même souche logicielle.

4 Description

De multiples vulnérabilités dans le script Stream.cc de Xpdf permettent à un
individu malveillant l’exécution de code arbitraire en local via un fichier pdf
spécialement conçu.

Ces vulnérabilités affectent les produits utilisant la même souche logicielle.

5 Solution

Se référer aux sites des éditeurs pour l’obtention des correctifs (cf. section
Documentation).

6 Documentation

* Bulletin KDE du 07 novembre 2007 :

http://www.kde.org/info/security/advisory-20071107-1.txt

* Bulletin de sécurité Redhat 1021-3 du 07 novembre 2007 :

http://rhn.redhat.com/errata/RHSA-2007-1021.html

* Bulletin de sécurité Redhat 1022-2 du 07 novembre 2007 :

http://rhn.redhat.com/errata/RHSA-2007-1022.html

* Bulletin de sécurité Redhat 1025-5 du 07 novembre 2007 :

http://rhn.redhat.com/errata/RHSA-2007-1025.html

* Bulletin de sécurité Redhat 1026-3 du 07 novembre 2007 :

http://rhn.redhat.com/errata/RHSA-2007-1026.html

* Bulletin de sécurité Secunia numéro 27260 du 07 novembre 2007 :

http://secunia.com/advisories/27260/

* Rustine Xpdf :

ftp://ftp.foolabs.com/pub/xpdf/xpdf-3.02pl2.patch

* Référence CVE CVE-2007-4352 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4352

* Référence CVE CVE-2007-5392 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5392

* Référence CVE CVE-2007-5393 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5393