int(1208)

Boletines de Vulnerabilidades


Ejecución remota de código en Adobe Acrobat Reader

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Compromiso Root
Dificultad Avanzado
Requerimientos del atacante Acceso remoto sin cuenta a un servicio exotico

Información sobre el sistema

Propiedad Valor
Fabricante afectado UNIX
Software afectado Adobe Acrobat Reader 5.0.9 UNIX

Descripción

Se ha encontrado una vulnerabilidad en Adobe Acrobat Reader, que podría ser explotada para comprometer un sistema.

La vulnerabilidad es debida a un error en la comprobación de límites en la función "mailListIsPdf()" cuando se chequean los archivos entrantes. La vulnerabilidad puede explotarse para causar un desbordamiento de búfer (por ejemplo enviando un e-mail con un documento PDF adjunto).

La correcta explotación permitiría la ejecucuón remota de código.

Solución



Actualización de software

Adobe Acrobat Reader
Actualice a la versión 5.0.10 para Unix.
http://www.adobe.com/products/acrobat/readstep2.html

Red Hat Linux

Red Hat Desktop (v. 3)/IA-32:
acroread-5.10-0.EL3.i386.rpm
acroread-plugin-5.10-0.EL3.i386.rpm

Red Hat Enterprise Linux AS (v. 3)/IA-32:
acroread-5.10-0.EL3.i386.rpm
acroread-plugin-5.10-0.EL3.i386.rpm

Red Hat Enterprise Linux ES (v. 3)/IA-32:
acroread-5.10-0.EL3.i386.rpm
acroread-plugin-5.10-0.EL3.i386.rpm

Red Hat Enterprise Linux WS (v. 3)/IA-32:
acroread-5.10-0.EL3.i386.rpm
acroread-plugin-5.10-0.EL3.i386.rpm
http://rhn.redhat.com/

Identificadores estándar

Propiedad Valor
CVE CAN-2004-1152
BID

Recursos adicionales

Adobe Knowledge Base #331153
http://www.adobe.com/support/techdocs/331153.html

Red Hat linux Security Advisory RHSA-2004:674-07
https://rhn.redhat.com/errata/RHSA-2004-674.html

Mandrakesoft Security Advisories
http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:156

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2004-12-16
1.1 Aviso emitido por Red Hat Linux (RHSA-2004:674-07) 2004-12-23

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT