公開日:2011/03/22 最終更新日:2011/03/22

JVNVU#376500
Foolabs Xpdf にサービス運用妨害 (DoS) の脆弱性

概要

Foolabs Xpdf には、フォントの解析に起因するサービス運用妨害 (DoS) の脆弱性が存在します。

影響を受けるシステム

  • Foolabs Xpdf 3.02pl5 およびそれ以前のバージョン

詳細情報

Foolabs Xpdf は Portable Document Format (PDF) を閲覧するためのオープンソースのソフトウェアです。Foolabs Xpdf には、t1lib ライブラリの Type 1 フォント解析処理に起因する脆弱性が存在します。

想定される影響

遠隔の第三者によって、サービス運用妨害 (DoS) 攻撃を受けたり、任意のコードを実行されたりする可能性があります。

対策方法

t1lib ライブラリを使用しない
開発者は t1lib ライブラリを使わない Xpdf のビルドを推奨しています。

To build Xpdf without t1lib, add the "--with-t1-library=no" flag to the
configure command:

./configure --with-t1-library=no .....

To double-check, run "xpdf --help". The "-freetype" option should be
listed, and the "-t1lib" option should NOT be listed. That indicates
that Xpdf was built with FreeType and without t1lib.

With this setting, Xpdf will use FreeType instead of t1lib to rasterize
Type 1 fonts. With recent versions of FreeType, the Type 1 quality is
as good or better than t1lib, so this should not present any problems.

ベンダ情報

ベンダ リンク
Foolabs Xpdf: Download:
Xpdf: About:
Xpdf: Home:

参考情報

  1. US-CERT Vulnerability Note VU#376500
    Foolabs Xpdf contains a denial of service vulnerability

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia