Vigil@nce - Poppler, Xpdf : injection de caractères
août 2013 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut créer un document PDF malformé, contenant des
caractères spéciaux, qui ne sont pas filtrés par Poppler/Xpdf,
afin de les injecter dans un terminal shell.
Produits concernés : Unix (plateforme)
Gravité : 1/4
Date création : 09/08/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Les logiciels Poppler et Xpdf affichent des documents PDF.
Lorsqu’une erreur survient, les fonctions du fichier Error.cc
affichent des messages. Cependant, les caractères spéciaux
contenus dans le document PDF ne sont pas filtrés avant d’être
affichés. Un attaquant peut alors injecter des séquences
d’échappement ANSI, qui sont interprétées par le terminal shell.
Un attaquant peut donc créer un document PDF malformé, contenant
des caractères spéciaux, qui ne sont pas filtrés par Poppler/Xpdf,
afin de les injecter dans un terminal shell.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Poppler-Xpdf-injection-de-caracteres-13240