检测

Debian DLA-1706-1:poppler - 安全更新

high Nessus 插件 ID 122720

语言:

简介

远程 Debian 主机缺少安全更新。

描述

在 poppler PDF 渲染共享库中发现多个安全性漏洞。CVE-2018-19058 由于 FileSpec.cc 中的 EmbFile::save2 在保存嵌入式文件前缺少流检查,因此 Object.h 中的可访问中止可能会造成拒绝服务。CVE-2018-20481 Poppler 未正确处理未分配的 XRef 条目,这使得远程攻击者能够通过特制的 PDF 文档造成拒绝服务(空指针取消引用)。CVE-2018-20662 Poppler 可让攻击者通过构建 xref 数据结构损坏的 PDF 文件,从而造成拒绝服务(应用程序崩溃和段错误)。CVE-2019-7310 基于堆的缓冲区过度读取(由于 XRef.cc 的 XRef::getEntry 函数中整数符号错误)可让远程攻击者通过特制的 PDF 文档造成拒绝服务(应用程序崩溃),或可能会造成其他不明影响。CVE-2019-9200 位于 Stream.cc 内的 ImageStream::getLine() 存在基于堆的缓冲区下溢,例如该缺陷可通过发送特制的 PDF 文件至 pdfimages 二进制文件所触发。它允许攻击者造成拒绝服务(段错误)或可能造成其他不明影响。对于 Debian 8“Jessie”,这些问题已在 0.26:5-2+deb8u8 版本中修复。我们建议您升级 poppler 程序包。注意:Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下,尽可能进行自动整理和排版。

解决方案

升级受影响的程序包。

另见

https://lists.debian.org/debian-lts-announce/2019/03/msg00008.html

https://packages.debian.org/source/jessie/poppler

插件详情

严重性: High

ID: 122720

文件名: debian_DLA-1706.nasl

版本: 1.7

类型: local

代理: unix

发布时间: 2019/3/11

最近更新时间: 2024/6/14

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Medium

基本分数: 6.8

时间分数: 5.3

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2019-9200

CVSS v3

风险因素: High

基本分数: 8.8

时间分数: 7.9

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:poppler-dbg, p-cpe:/a:debian:debian_linux:libpoppler-qt4-dev, p-cpe:/a:debian:debian_linux:libpoppler46, p-cpe:/a:debian:debian_linux:libpoppler-cpp0, p-cpe:/a:debian:debian_linux:libpoppler-private-dev, p-cpe:/a:debian:debian_linux:libpoppler-qt5-dev, p-cpe:/a:debian:debian_linux:poppler-utils, p-cpe:/a:debian:debian_linux:libpoppler-qt4-4, p-cpe:/a:debian:debian_linux:libpoppler-cpp-dev, p-cpe:/a:debian:debian_linux:libpoppler-glib-doc, p-cpe:/a:debian:debian_linux:libpoppler-qt5-1, cpe:/o:debian:debian_linux:8.0, p-cpe:/a:debian:debian_linux:libpoppler-dev, p-cpe:/a:debian:debian_linux:libpoppler-glib-dev, p-cpe:/a:debian:debian_linux:gir1.2-poppler-0.18, p-cpe:/a:debian:debian_linux:libpoppler-glib8

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

可利用: true

易利用性: Exploits are available

补丁发布日期: 2019/3/8

漏洞发布日期: 2018/11/7

参考资料信息

CVE: CVE-2018-19058, CVE-2018-20481, CVE-2018-20662, CVE-2019-7310, CVE-2019-9200