Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Keskiviikko, 27.10.2004

CERT-FI: Haavoittuvuuksia Xpdf-ohjelmistossa

Erityisesti Linux- ja Unix-ympäristöissä suositusta avoimeen lähdekoodiin perustuvasta Xpdf-ohjelmistosta on löytynyt useita haavoittuvuuksia. Haavoittuvuuksia voidaan hyväksikäyttää esimerkiksi houkuttelemalla käyttäjä avaamaan tietyllä tavalla muokattu PDF-tiedosto. Hyökkääjä voi haavoittuvuuksia hyväksikäyttämällä kohdistaa tietojärjestelmään palveluestohyökkäyksen ja mahdollisesti suorittaa omia komentojaan kohdejärjestelmässä.

Haavoittuvuuksille ovat alttiita ainakin Xpdf 2.0- ja 3.0-versiot sekä Xpdf:n lähdekoodia käyttävät ohjelmistot, kuten CUPS, gpdf ja kdegraphic. Xpdf-ohjelmiston valmistaja ei CERT-FI:n tietojen mukaan ole julkaissut ohjelmistoon virallista päivitystä, mutta päivitys on saatavilla useilta käyttöjärjestelmäjakelijoilta.

Lue juttu oma, 27.10.2004 00:02. Lähde: CERT-FI

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 9 uutta / 9 )
pistettä.
Näytä vain kommentit joilla on vähintään
tpr kdegraphic... :)
tpr, 27.10.2004 00:26:27		 Pisteet: 0
Joo, kyse taitaa olla ilmeisesti KDE:n kdegraphics-moduulista, josta löytyvät sekä kpdf että kghostview. kghostview ei ainakaan sisällä omaa vedosta xpdf:n lähdekoodista eikä sen debian-paketti vaadi xpdf:ää asennettavaksi, eli käyttää mahdollisesti ghostscriptiä jotenkin, joku viisaampi saa vahvistaa. Mutta ainakin KPDF:n xpdf-vedoksesta on jo ainakin osa aukoista korjattuna.
Saltsa Re: kdegraphic... :)
Saltsa, 27.10.2004 09:26:06		 Pisteet: 0
Joo, kyse taitaa olla ilmeisesti KDE:n kdegraphics-moduulista, josta löytyvät sekä kpdf että kghostview.
Öh? Eihän xpdf-ohjelmalla ole mitään tekemistä KDE:n kanssa?
tpr Re: kdegraphic... :)
tpr, 27.10.2004 17:57:31		 Pisteet: 0
Joo, kyse taitaa olla ilmeisesti KDE:n kdegraphics-moduulista, josta löytyvät sekä kpdf että kghostview.
Öh? Eihän xpdf-ohjelmalla ole mitään tekemistä KDE:n kanssa?
Öh, no jostain kumman syystä xpdf:stä on oma kopio KDE:n cvs:ssä? Ei, vaan KPDF käyttää xpdf:ää pdf-tiedostojen näyttämiseen, syytä siihen miksi on oma kopio en tiedä/muista.
Re: kdegraphic... :)
Ilta, 27.10.2004 14:21:25		 Pisteet: 0
Öh? Eihän xpdf-ohjelmalla ole mitään tekemistä KDE:n kanssa?
Toki on, sillä kpdf käyttää enemmän tai vähemmän xpdf:n koodia.
Saltsa Re: kdegraphic... :)
Saltsa, 27.10.2004 14:37:20		 Pisteet: 0
Öh? Eihän xpdf-ohjelmalla ole mitään tekemistä KDE:n kanssa?
Toki on, sillä kpdf käyttää enemmän tai vähemmän xpdf:n koodia.
Eli ei sillä silloin ole, jos kpdf on kopioitu xpdf:stä, niin silloin ei ne kde-version bugit vaikuta asiaan mitenkään, kuten alkuperäinen kommentoija antoi ymmärtää.
Re: kdegraphic... :)
T-LintU, 27.10.2004 16:02:11		 Pisteet: 0
utta ainakin KPDF:n xpdf-vedoksesta on jo ainakin osa aukoista korjattuna.
Öh? Eihän xpdf-ohjelmalla ole mitään tekemistä KDE:n kanssa?
Toki on, sillä kpdf käyttää enemmän tai vähemmän xpdf:n koodia.
Eli ei sillä silloin ole, jos kpdf on kopioitu xpdf:stä, niin silloin ei ne kde-version bugit vaikuta asiaan mitenkään, kuten alkuperäinen kommentoija antoi ymmärtää.
Ensinnäkin, tuskin kyseessä on kopioiminen, vaan hieman muokatun XPDF:n koodin käyttäminen KDE:n KPDF:ssä. Kyseessä lienee varmaankin jonkin sortin wrapperi / UI, joka käyttää sisäisesti muokattua XPDF:ää.

Toiseksi, alkuperäinen kirjoittaja tuumasi, että KPDF:n sisäisestä (vedoksesta) XPF:stä olisi jo korjattu noita bugeja, joten se ei olisi enää altis kaikille noille haavoittuvaisuuksille. Hän ilmeisesti halusi vähentää huolestuneisuutta, kun kyseinen sovellus ilmeisen tunnetusti (?) sisältää tuon haavoittuvaisen komponentin. Näin siis itse tuon kommentin ymmärsin.

pasonen, 27.10.2004 04:02:23		 Pisteet: 0
Ja xpdf:ään ei vielä ole korjauksia olemassa? hmm. pitääkin sitten varmaan sulkea ko. ohjelma ;)
xpdf
suse, 27.10.2004 09:29:27		 Pisteet: 0
SuSElle nuo korjaukset tuli eilen.
Saltsa Re: xpdf
Saltsa, 27.10.2004 09:51:59		 Pisteet: 0
SuSElle nuo korjaukset tuli eilen.
FC2:lle näköjään viikko sitten jotain päivityksiä tullut:
2004-10-21 FEDORA-2004-348 xpdf-3.00-3.4 [SECURITY]
http://www.fedoranews.org/updates/FEDORA-2004-348....

Itsellä ne onkin jo "vahingossa" asennettu, vaikka ihan manuaalisesti ajan silloin tällöin tuota up2date:a. Toivottavasti muutkin distrot päivittävät haavoittuvuudet mahdollisimman nopeasti, tosin monikohan linux-käyttäjä sitten nuo asentaa?