Boletines de Vulnerabilidades |
Desbordamiento de entero en Xpdf |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Aumento de privilegios |
Dificultad | Principiante |
Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | GNU/Linux |
Software afectado |
Xpdf <= 2.01 CUPS <= 1.1.17 |
Descripción |
|
Se ha detectado una vulnerabilidad en la aplicación pdftops ( usada en los paquetes Xpdf y CUPS). Common Unix Printing System (CUPS) es una solución para imprimir en entornos Unix que contiene los servicios completos de impresión para impresoras postscript y raster y Xpdf es un editor de ficheros PDF, ambos ejecutan pdftops que convierte ficheros PDF en postcript. Un atacante local puede explotar dicha vulnerabilidad de diferente formas para obtener un aumento de privilegios sobre el sistema. Para explortar esta vulnerabilidad de forma remota, el atacante debe provocar la impresión por parte de un usuario de un pdf malformado. |
|
Solución |
|
Aplique los mecanismos de actualización propios de su distribución, o bien obtenga las fuentes del software y compílelo usted mismo. Actualización de software Parche para Xpdf ftp://ftp.foolabs.com/pub/xpdf/xpdf-2.01-patch1 Parche para CUPS ftp://ftp.easysw.com/pub/cups/1.1.18 |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CAN-2002-1384 |
BID | |
Recursos adicionales |
|
iDEFENSE Security Advisory 12.23.02: Integer Overflow in pdftops http://www.idefense.com/advisory/12.23.02.txt DEBIAN: DSA-222 http://www.debian.org/security/2003/dsa-222.en.html DEBIAN: DSA-226 http://www.debian.org/security/2003/dsa-226.en.html REDHAT:RHSA-2002:295 http://www.redhat.com/support/errata/RHSA-2002-295.html REDHAT:RHSA-2003:037 http://www.redhat.com/support/errata/RHSA-2003-037.html Mandrake MDKSA-2003:002: Updated xpdf packages fix integer overflow vulnerability http://marc.theaimsgroup.com/?l=bugtraq&m=104231788516223&w=2 |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2003-02-12 |