Vine Linux バグトラッキングシステム - Vine Linux
課題の詳細を表示
IDプロジェクトカテゴリ公開登録日最終更新
0000463Vine Linux1 バグ公開2007-01-16 17:392007-03-27 22:48
報告者anonymous 
担当者 
優先度再現性不明 
状態完了解決状況不明 
バージョン 
修正予定バージョン修正済バージョン 
arch
パッケージtetex-3.0-0vl7
概要0000463: kpdf/kword/xpdf denial of service vulnerability(CVE-2007-0104)
説明
再現方法
追加情報
タグ設定されていません。
関連
添付ファイル
課題の履歴
変更日ユーザー名項目変更内容
2007-01-16 17:39anonymous新規課題
2007-01-16 17:41anonymousコメント追加: 0002340
2007-01-17 12:53anonymousコメント追加: 0002341
2007-01-19 18:18anonymousバージョン3.2,4.0 => 4.0,VineSeed
2007-01-19 18:18anonymousパッケージkde-3.5.5-0vl2(plus) => tetex-3.0-0vl7
2007-01-19 18:18anonymousコメント追加: 0002342
2007-01-19 18:43iwamotoコメント追加: 0002343
2007-01-22 13:27anonymousコメント追加: 0002344
2007-01-22 15:49anonymousコメント追加: 0002345
2007-03-27 22:48kazutaka状態新規 => 完了
2007-03-27 22:48kazutakaコメント追加: 0002346

コメント
(0002340)
anonymous   
2007-01-16 17:41   
KDE Security Advisoryがでたようです。

xpdfとコードが共通みたいなので、kdeのコードから
ポーティングしてあげれば、xpdfも対応できるのでは
ないかと思います。

KDE Security Advisory:
http://www.kde.org/info/security/advisory-20070115-1.txt [^]


References:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0104 [^]
(0002341)
anonymous   
2007-01-17 12:53   
> xpdfとコードが共通みたいなので、kdeのコードから
> ポーティングしてあげれば、xpdfも対応できるのでは
> ないかと思います。
試しに、公開されているパッチ(post-3.5.5-kdegraphics-CVE-2007-0104.diff)
xpdf-3.00.CVE-2007-0104.diff とリネームして、
xpdf-3.00-0vl6.5.src.rpm(Vine3.2)に取りこんでリビルドしたところ
xpdfでも, このパッチが有効なことを確認しました。

パッチ未導入のものは、「セグメンテーション違反です」として
落ちますが、パッチをあてものは、コンソールにエラーメッセージを
はきながらもたちあがりました。
検証用に利用したのは以下のファイルです。
http://projects.info-pull.com/moab/MOAB-06-01-2007.html [^]
  MOAB-06-01-2007.pdf
(0002342)
anonymous   
2007-01-19 18:18   
> > xpdfとコードが共通みたいなので、kdeのコードから
> > ポーティングしてあげれば、xpdfも対応できるのでは
> > ないかと思います。
> 試しに、公開されているパッチ(post-3.5.5-kdegraphics-CVE-2007-0104.diff)
> xpdf-3.00.CVE-2007-0104.diff とリネームして、
> xpdf-3.00-0vl6.5.src.rpm(Vine3.2)に取りこんでリビルドしたところ
> xpdfでも, このパッチが有効なことを確認しました。
>
> パッチ未導入のものは、「セグメンテーション違反です」として
> 落ちますが、パッチをあてものは、コンソールにエラーメッセージを
> はきながらもたちあがりました。
> 検証用に利用したのは以下のファイルです。
> http://projects.info-pull.com/moab/MOAB-06-01-2007.html [^]
> MOAB-06-01-2007.pdf

  teTeX にも xpdf のコードが利用されてます。
パッチを当てると pdflatex から上記の PDF を張り込む際に、
core dump を防げることを確認しました。
xpdf などにも update を出されるのなら、
tetex も一緒にお願いしたいです。
(0002343)
iwamoto   
2007-01-19 18:43   
> > http://projects.info-pull.com/moab/MOAB-06-01-2007.html [^]
> > MOAB-06-01-2007.pdf

exploit の情報の書き込みは慎重にお願いします。
security-ml、security-bts が非公開になっているのは
このような情報を扱うためです。

> xpdf などにも update を出されるのなら、
> tetex も一緒にお願いしたいです。

了解しました。
着手してみます。
(0002344)
anonymous   
2007-01-22 13:27   
> > > http://projects.info-pull.com/moab/MOAB-06-01-2007.html [^]
> > > MOAB-06-01-2007.pdf
>
> exploit の情報の書き込みは慎重にお願いします。
> security-ml、security-bts が非公開になっているのは
> このような情報を扱うためです。
元投稿者です。(補足説明をします。)

もともとのKDE Security Advisoryは kpdf/kwordに対するものです。
それらがxpdfとコードが共通である為、xpdfも同様にして
バグがありそう。(と同時にkpdf/kwordのパッチは有効そう)
 というようなことは、Advisoryから簡単に推測できると思います。
#第一報から、1日ぐらいおきましたがまったくレスがないので、
#大丈夫かなー。(正直) と思いました。

そうは言っても、KDEやKDE Securityチーム、KDE Security Advisoryの
出し元(多分、Dirk Mueller氏)に対して、信用とか信頼とかがなければ
「kpdf/kwordのパッチがそのままxpdfに有効」というようなことは、
なかなか信用されないと思います。

そこらあたりのことを証明するには、なに(どのsrpmに), どの様に(概要)、
確認手段(検証方法)みたいなことを提示しない限りダメだろうと思い投稿
しました。
#重要な情報はみんなで共有しよう。(みんなで、助けあおう。)


「Multiple Vendor PDF Document Catalog Handling Vulnerability」
の情報が、2007/01/06 に公開になっていること。
CVE-2007-0104も既に公開になっている。(傾向としてCVEの情報は公開が遅め)
( http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0104 [^] )
今回のexploit的な情報は、不具合が発生するファイルのフォーマットならびに
サンプルの公開であり、直接的な攻撃プログラム(コード)の公開では無かったので
OKだろうと判断しました。

exploit的な情報の投稿をいっさい禁じるのであれば、それに従います。
注意事項なりで明記していただければと思います。(exploitの情報基準なんかも。)
(0002345)
anonymous   
2007-01-22 15:49   
> そこらあたりのことを証明するには、なに(どのsrpmに), どの様に(概要)、
> 確認手段(検証方法)みたいなことを提示しない限りダメだろうと思い投稿
> しました。
> #重要な情報はみんなで共有しよう。(みんなで、助けあおう。)

ですから、貴方のような方であれば Security Watch Team に加わっていただいたほうがコミュニティにとって有益でしょうということで、以前参加を打診されたのだと思いますよ。
この BTS のような(Seedに同じ内容が垂れ流される)グレーゾーンを使ってやりとりするより、Security Watch Team の BTS を使用すれば、今回の件のようなことは起きなかったはずです。
今後も脆弱性情報を提供されるおつもりでしたら、是非 Security Watch Team の一員になるべきだと私は思います。
(0002346)
kazutaka   
2007-03-27 22:48   
errata が発行されたので完了とします。

ハラダ