Hlavní navigace

Nalezena bezpečnostní díra v Xpdf

Sdílet

Adam Štrauch 14. 10. 2010

programu Xpdf byla nalezena bezpečnostní díra, umožňující spustit útočníkův kód přes neinicializovaný ukazatel a chybný index jednoho pole. Celkově je problém ještě horší než vypadá, protože kód Xpdf je zahrnut v projektech jako CUPS, gPDF, KPDF a několika dalších. Detaily o této chybě si zatím drží pod pokličkou Red Hat, který už uvolnil opravy. Do ostatních distribucí dorazí co nevidět.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 14. 10. 2010 14:45

    . (neregistrovaný) ---.formlessnetworking.net

    Tato spravicka si zasluzi tak 4-, ako dost zle prerozpravanie nie velmi dobreho H-Online clanku. V porovnani s originalom ani nespomina poppler, dnes zrejme navyznamnejsi Xpdf klon, kde boli tieto problemy opravene najskor. Tiez by stalo za zmienku, ze gPDF a KPDF uz boli nahradene aplikaciami, ktore pouzivaju poppler (evince a okular), a v novsich distribuciach sa uz nenachadzaju.

    A hlaska "Detaily o této chybě si zatím drží pod pokličkou Red Hat" ako preklad "Red Hat hasn't released specific information about affected versions" to cele rozhodne zaklincovala...

  • 15. 10. 2010 8:41

    ventYl

    detail: poppler nie je klonom Xpdf, ale Xpdf sa rozdelilo na libpoppler, jakozto kniznicu na rendering PDF do rastru (alebo nieco podobne) a samotne Xpdf, ako jednoduchy Xlib based frontend.

  • 15. 10. 2010 11:22

    . (neregistrovaný) ---.formlessnetworking.net

    Xpdf sa nerozdelilo, poppler je fork, detaily a dovody vid README:
    http://cgit.freedesktop.org/poppler/poppler/tree/README

    poppler prebral PDF parsing/rendering, command line utility a zahodil Xlib GUI a namiesto toho ponuka wrappery pre Glib/Qt/Qt4, ktore pouzivaju graficke aplikacie (evince, okular, ...), vyvijane ako samostatne projekty.

    AFAIK niektore distra (tusim Gentoo) portli Xpdf Xlib GUI na poppler, ale to je distro-specific zmena, nie upstream Xpdf zalezitost.