You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-1646

[Unixoid/xpdf] Schwachstelle in xpdf
(2010-10-13 20:10:19.864883+00) Druckversion

Quelle: https://rhn.redhat.com/errata/RHSA-2010-0751.html

Zwei Schwachstellen im quelloffenen PDF-Betrachtungsprogramm xpdf können von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Da xpdf oder der verwundbare Code von zahlreichen weiteren Applikationen genuzt wird, sind auch diese von den Schwachstellen betroffen.

Inhalt

Zusammenfassung

  • CVE-2010-3702:
    Betroffen: xpdf 3.02pl4 sowie frühere Versionen
    Applikationen, die den in diesen Versionen enthaltenen Code verwenden
    Plattform: Unixoid
    Einfallstor: PDF-Datei
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: user compromise
    Typ: Speicherverletzung
    Gefahrenpotential: hoch
    Workaround: ja
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2010-3702
  • CVE-2010-3704:
    Betroffen: xpdf 3.02pl4 sowie frühere Versionen
    Applikationen, die den in diesen Versionen enthaltenen Code verwenden
    Plattform: Unixoid
    Einfallstor: PDF-Datei
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: user compromise
    Typ: Speicherverletzung
    Gefahrenpotential: hoch
    Workaround: ja
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2010-3704

Betroffene Systeme

  • CVE-2010-3702:
    • xpdf 3.02pl4 sowie frühere Versionen
    Viele Applikationen nutzen zur Darstellung von PDF-Daten den Code von xpdf und sind daher ebenfalls von dieser Schwachstelle betroffen. Dies sind z.B.:
    • Die Programmbibliothek Poppler 0.5.4 und frühere Versionen
    • Das Druckmanagementsystem CUPS 1.4.4 und frühere Versionen
    • ... weitere Applikationen, die den verwundbaren Code verwenden.
  • CVE-2010-3704:
    • xpdf 3.02pl4 sowie frühere Versionen
    Viele Applikationen nutzen zur Darstellung von PDF-Daten den Code von xpdf und sind daher ebenfalls von dieser Schwachstelle betroffen. Dies sind z.B.:
    • Die Programmbibliothek Poppler 0.5.4 und frühere Versionen
    • Das Druckmanagementsystem CUPS 1.4.4 und frühere Versionen
    • ... weitere Applikationen, die den verwundbaren Code verwenden.

Plattform

  • CVE-2010-3702:
    Unixoide Betriebssysteme
  • CVE-2010-3704:
    Unixoide Betriebssysteme

Einfallstor

  • CVE-2010-3702:
    PDF-Datei
  • CVE-2010-3704:
    PDF-Datei

Angriffsvoraussetzung

  • CVE-2010-3702:
    Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechend präparierte PDF-Datei (Endung meist .pdf) öffnen Diese kann ihm z.B. über eine Webseite oder eine E-Mail-Nachricht zugeleitet werden. Bei Applikationen, die verwundbaren xpdf-Code verwenden, kann die Schwachstelle bei der Verarbeitung der Daten auftrete, ohne, dass eine solche Datei explizit geöffnet werden muss (im Falle von CUPS, muss die Datei z.B. gedruckt werden)
    (user interaction)
  • CVE-2010-3704:
    Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechend präparierte PDF-Datei (Endung meist .pdf) öffnen Diese kann ihm z.B. über eine Webseite oder eine E-Mail-Nachricht zugeleitet werden. Bei Applikationen, die verwundbaren xpdf-Code verwenden, kann die Schwachstelle bei der Verarbeitung der Daten auftrete, ohne, dass eine solche Datei explizit geöffnet werden muss (im Falle von CUPS, muss die Datei z.B. gedruckt werden)
    (user interaction)

Angriffsvektorklasse

  • CVE-2010-3702:
    über eine Netzwerkverbindung
    (remote)
  • CVE-2010-3704:
    über eine Netzwerkverbindung
    (remote)

Auswirkung

  • CVE-2010-3702:
    Ausführung beliebigen Programmcodes auf dem beherbergenden System mit den Privilegien des den verwundbaren Code ausführenden Benutzers
    (user compromise)
  • CVE-2010-3704:
    Ausführung beliebigen Programmcodes auf dem beherbergenden System mit den Privilegien des den verwundbaren Code ausführenden Benutzers
    (user compromise)

Typ der Verwundbarkeit

  • CVE-2010-3702:
    Speicherverletzung
    (memory corruption)
  • CVE-2010-3704:
    Speicherverletzung
    (memory corruption)

Gefahrenpotential

  • CVE-2010-3702:
    hoch
  • CVE-2010-3704:
    hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

  • CVE-2010-3702:

    Eine Pufferüberlaufschwachstelle in xpdf kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System ausführen. Der Code wird dabei mit den Privilegien des Benutzers ausgeführt, der gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Systems.

    Um die Schwachstelle erfolgreich ausnutzen zu können, muss der Angreifer einen Benutzer eines betroffenen Systems dazu veranlassen, eine besonders präparierte PDF-Datei mit xpdf zu betrachten. Diese Datei kann er ihm z.B. über eine Webseite oder eine E-Mail-Nachricht zukommen lassen. Da das anbieten auf Webseiten oder das Versenden von PDF-Dateien über E-Mail sehr gebräuchlich ist, sind die Hürden zur Ausnutzung sehr niedrig.

    Viele Applikationen verwenden den verwundbaren Code zur Verarbeitung von PDF-Daten, z.B. durch Verwendung der Programmbibliothek Poppler. Auch das Druckmanagementsystem CUPS verwendet den verwundbaren xpdf-Code. Im Falle von CUPS reicht es, wenn eine entsprechende Datei gedruckt wird, um die Schwachstelle auszunutzen.

  • CVE-2010-3704:

    Eine Pufferüberlaufschwachstelle in xpdf kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System ausführen. Der Code wird dabei mit den Privilegien des Benutzers ausgeführt, der gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Systems.

    Um die Schwachstelle erfolgreich ausnutzen zu können, muss der Angreifer einen Benutzer eines betroffenen Systems dazu veranlassen, eine besonders präparierte PDF-Datei mit xpdf zu betrachten. Diese Datei kann er ihm z.B. über eine Webseite oder eine E-Mail-Nachricht zukommen lassen. Da das anbieten auf Webseiten oder das Versenden von PDF-Dateien über E-Mail sehr gebräuchlich ist, sind die Hürden zur Ausnutzung sehr niedrig.

    Viele Applikationen verwenden den verwundbaren Code zur Verarbeitung von PDF-Daten, z.B. durch Verwendung der Programmbibliothek Poppler. Auch das Druckmanagementsystem CUPS verwendet den verwundbaren xpdf-Code. Im Falle von CUPS reicht es, wenn eine entsprechende Datei gedruckt wird, um die Schwachstelle auszunutzen.

Workaround

  • CVE-2010-3702:
    Die Ausnutzung der Schwachstelle kann vermieden werden, wenn alternative PDF-Anzeigeprogramme verwendet werden, die nicht auf dem Code von xpdf basieren. Prominentester Vertreter sind hier natürlich die Produkte von Adobe:
  • CVE-2010-3704:
    Die Ausnutzung der Schwachstelle kann vermieden werden, wenn alternative PDF-Anzeigeprogramme verwendet werden, die nicht auf dem Code von xpdf basieren. Prominentester Vertreter sind hier natürlich die Produkte von Adobe:

Gegenmaßnahmen

  • CVE-2010-3702:
    • Installation eines Patches oder einer neuen Version von xpdf, sobald verfügbar
    • Installation aktualisierter Pakete der verschiedenen Linux-Distributoren sobald diese verfügbar sind. Im Allgemeinen werden neue Pakete bei einer Aktualisierung des Betriebssyetems (z.B. mittels aptitude, Yast oder dem RPM Package Manager) automatisch mitinstalliert, sobald sie verfügbar und freigegeben sind.
    • Installation von Patches oder neuer Versionen von Applikationen, die xpdf-Code verwenden
  • CVE-2010-3704:
    • Installation eines Patches oder einer neuen Version von xpdf, sobald verfügbar
    • Installation aktualisierter Pakete der verschiedenen Linux-Distributoren sobald diese verfügbar sind. Im Allgemeinen werden neue Pakete bei einer Aktualisierung des Betriebssyetems (z.B. mittels aptitude, Yast oder dem RPM Package Manager) automatisch mitinstalliert, sobald sie verfügbar und freigegeben sind.
    • Installation von Patches oder neuer Versionen von Applikationen, die xpdf-Code verwenden

Vulnerability ID

Weitere Information zu diesem Thema

  • CVE-2010-3702:
    • Security Tracker 1024521 (Red Hat Issues Fix) Xpdf Pointer Dereference in Gfx::getPos() Lets Remote Users Execute Arbitrary Code
    • Security Focus 43845 Xpdf 'Gfx::getPos()' (CVE-2010-3702) Unitialized Pointer Dereference Vulnerability
  • CVE-2010-3704:
    • Security Tracker 1024523 (Red Hat Issues Fix) Xpdf Pointer Dereference in Gfx::getPos() Lets Remote Users Execute Arbitrary Code
(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.