1. Bulletin de Sécurité Gentoo
| Référence | GLSA 200602-12 / gpdf |
| Date de Parution | 21 Février 2006 |
| Impact | Normal |
| Exploitabilité | Distante |
2. Versions affectées
| Package | Vulnérables | Non-affectées | Architecture(s) |
| app-text/gpdf | < 2.10.0-r4 | >= 2.10.0-r4 | Toutes |
3. Synopsis
Gpdf contient une portion de code issue de Xpdf qui est vulnérable à une faille de type "heap overflow".
4. Informations
Gpdf est un visualisateur de fichiers PDF fonctionnant avec Gnome.
5. Description
Dirk Mueller a reporté une vulnérabilité dans le code de Xpdf. Cette dernière est présente dans Gpdf qui contient une portion de code empruntée à xpdf, qui peut être mise en évidence lors du traitement de certaines images "splash" de très grande tailles.
6. Impact de la faille
En envoyant à sa victime un fichier PDF spécifiquement forgé, un attaquant peut causer l'exploitation d'un buffer overflow dans gpdf, et l'exécution d'une portion de code arbitraire avec les privilèges de l'utilisateur de gpdf.
7. Solution de contournement
Il n'existe aucune solution de contournement à l'heure actuelle.
8. Correction de la faille
Les utilisateurs de Gpdf doivent installer sa dernière version :
# emerge --sync # emerge --ask --oneshot --verbose ">=app-text/gpdf-2.10.0-r4"
9. Références