Bug 8632 - SECURITY problems: CAN-2005-2097, CVE-2005-319[1-3]
: SECURITY problems: CAN-2005-2097, CVE-2005-319[1-3]
Status: CLOSED FIXED
: Sisyphus
(All bugs in Sisyphus/libpoppler)
: unstable
: all Linux
: P2 critical
Assigned To:
:
:
:
:
:
  Show dependency tree
 
Reported: 2005-12-13 10:05 by
Modified: 2007-01-29 19:58 (History)


Attachments
CAN-2005-2097.patch (1.86 KB, patch)
2005-12-13 10:07, Vladimir Lettiev
no flags Details | Diff
CVE-2005-3191_2_3.patch (4.60 KB, patch)
2005-12-13 10:10, Vladimir Lettiev
no flags Details | Diff


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2005-12-13 10:05:19
libpoppler 0.4.2-alt1 имеет следующие проблемы с безопасностью:
[DoS]
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2097
[multiple integer overflows]
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3191
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3192
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3193

надо фиксить.
------- Comment #1 From 2005-12-13 10:07:16 -------
Created an attachment (id=1292) [details]
CAN-2005-2097.patch

Патч - фикс CAN-2005-2097.patch
------- Comment #2 From 2005-12-13 10:10:00 -------
Created an attachment (id=1293) [details]
CVE-2005-3191_2_3.patch

Патч, решающий проблему с CVE-2005-319[1-3]

Оба патча взяты из обновления poppler, вышедшего для Ubuntu 5.10
------- Comment #3 From 2006-12-17 21:49:38 -------
Судя по %changelog, обновления были:

* Wed Jan 11 2006 Andrey Semenov <mitrofan@altlinux> 0.4.4-alt1
- new  version

* Tue Dec 13 2005 Andrey Semenov <mitrofan@altlinux> 0.4.3-alt1
- new version
------- Comment #4 From 2006-12-17 21:52:16 -------
Xpdf BoF было исправлено в 0.4.3: http://secunia.com/advisories/17912/
Multi IoF были исправлены в 0.4.4: http://secunia.com/advisories/18312/
------- Comment #5 From 2006-12-18 18:44:52 -------
При желании я могу и libpoppler-0.5.4 в updates к 3.0 бросить
------- Comment #6 From 2006-12-18 20:21:15 -------
Если не внапряг и не должно ничего сломать, было бы неплохо.
------- Comment #7 From 2006-12-19 12:21:07 -------
По идее, не должно. Я пропатчил, чтоб собирался со старым cairo, но не 
проверял.
В backports/3.0 он из-за KDE лежит.
Но evince пересобрать надо, soname сменился.
Если он работает, то ни одного препятствия для выкладывания вроде нет.
Если не работает, то можно что-то поновее в updates положить, если мантейнер 
не против собрать.
------- Comment #8 From 2006-12-19 23:02:50 -------
про evince - скажите только что нужно и когда.
------- Comment #9 From 2006-12-20 13:49:03 -------
(In reply to comment #8)
> про evince - скажите только что нужно и когда.
В backports/3.0 лежит последний poppler, нужно проверить работоспособность 
evince, сообщить мне, я выложу poppler в updates и сообщу, что updates готов 
для выкладывания evince
------- Comment #10 From 2006-12-20 13:51:59 -------
сроки без ограничений
------- Comment #11 From 2007-01-29 19:58:00 -------
Как насчет забрасывания libpoppler-0.5.4 в updates к 3.0?
Я готов