0000463: kpdf/kword/xpdf denial of service vulnerability(CVE-2007-0104) - Vine Linux バグトラッキングシステム

コメント
(0002340) anonymous (参照) 2007-01-16 17:41	KDE Security Advisoryがでたようです。 xpdfとコードが共通みたいなので、kdeのコードからポーティングしてあげれば、xpdfも対応できるのではないかと思います。 KDE Security Advisory: http://www.kde.org/info/security/advisory-20070115-1.txt [^] References: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0104 [^]

(0002341) anonymous (参照) 2007-01-17 12:53	> xpdfとコードが共通みたいなので、kdeのコードから > ポーティングしてあげれば、xpdfも対応できるのでは > ないかと思います。試しに、公開されているパッチ(post-3.5.5-kdegraphics-CVE-2007-0104.diff) xpdf-3.00.CVE-2007-0104.diff とリネームして、 xpdf-3.00-0vl6.5.src.rpm(Vine3.2)に取りこんでリビルドしたところ xpdfでも, このパッチが有効なことを確認しました。パッチ未導入のものは、「セグメンテーション違反です」として落ちますが、パッチをあてものは、コンソールにエラーメッセージをはきながらもたちあがりました。検証用に利用したのは以下のファイルです。 http://projects.info-pull.com/moab/MOAB-06-01-2007.html [^] MOAB-06-01-2007.pdf

(0002342) anonymous (参照) 2007-01-19 18:18	> > xpdfとコードが共通みたいなので、kdeのコードから > > ポーティングしてあげれば、xpdfも対応できるのでは > > ないかと思います。 > 試しに、公開されているパッチ(post-3.5.5-kdegraphics-CVE-2007-0104.diff) > xpdf-3.00.CVE-2007-0104.diff とリネームして、 > xpdf-3.00-0vl6.5.src.rpm(Vine3.2)に取りこんでリビルドしたところ > xpdfでも, このパッチが有効なことを確認しました。 > > パッチ未導入のものは、「セグメンテーション違反です」として > 落ちますが、パッチをあてものは、コンソールにエラーメッセージを > はきながらもたちあがりました。 > 検証用に利用したのは以下のファイルです。 > http://projects.info-pull.com/moab/MOAB-06-01-2007.html [^] > MOAB-06-01-2007.pdf teTeX にも xpdf のコードが利用されてます。パッチを当てると pdflatex から上記の PDF を張り込む際に、 core dump を防げることを確認しました。 xpdf などにも update を出されるのなら、 tetex も一緒にお願いしたいです。

(0002343) iwamoto (管理者) 2007-01-19 18:43	> > http://projects.info-pull.com/moab/MOAB-06-01-2007.html [^] > > MOAB-06-01-2007.pdf exploit の情報の書き込みは慎重にお願いします。 security-ml、security-bts が非公開になっているのはこのような情報を扱うためです。 > xpdf などにも update を出されるのなら、 > tetex も一緒にお願いしたいです。了解しました。着手してみます。

(0002344) anonymous (参照) 2007-01-22 13:27	> > > http://projects.info-pull.com/moab/MOAB-06-01-2007.html [^] > > > MOAB-06-01-2007.pdf > > exploit の情報の書き込みは慎重にお願いします。 > security-ml、security-bts が非公開になっているのは > このような情報を扱うためです。元投稿者です。(補足説明をします。) もともとのKDE Security Advisoryは kpdf/kwordに対するものです。それらがxpdfとコードが共通である為、xpdfも同様にしてバグがありそう。(と同時にkpdf/kwordのパッチは有効そう) 　というようなことは、Advisoryから簡単に推測できると思います。＃第一報から、１日ぐらいおきましたがまったくレスがないので、＃大丈夫かなー。(正直)　と思いました。そうは言っても、KDEやKDE Securityチーム、KDE Security Advisoryの出し元(多分、Dirk Mueller氏)に対して、信用とか信頼とかがなければ「kpdf/kwordのパッチがそのままxpdfに有効」というようなことは、なかなか信用されないと思います。そこらあたりのことを証明するには、なに(どのsrpmに), どの様に(概要)、確認手段(検証方法)みたいなことを提示しない限りダメだろうと思い投稿しました。＃重要な情報はみんなで共有しよう。(みんなで、助けあおう。) 「Multiple Vendor PDF Document Catalog Handling Vulnerability」の情報が、2007/01/06 に公開になっていること。 CVE-2007-0104も既に公開になっている。(傾向としてCVEの情報は公開が遅め) ( http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0104 [^] ) 今回のexploit的な情報は、不具合が発生するファイルのフォーマットならびにサンプルの公開であり、直接的な攻撃プログラム(コード)の公開では無かったのでＯＫだろうと判断しました。 exploit的な情報の投稿をいっさい禁じるのであれば、それに従います。注意事項なりで明記していただければと思います。(exploitの情報基準なんかも。)

(0002345) anonymous (参照) 2007-01-22 15:49	> そこらあたりのことを証明するには、なに(どのsrpmに), どの様に(概要)、 > 確認手段(検証方法)みたいなことを提示しない限りダメだろうと思い投稿 > しました。 > ＃重要な情報はみんなで共有しよう。(みんなで、助けあおう。) ですから、貴方のような方であれば Security Watch Team に加わっていただいたほうがコミュニティにとって有益でしょうということで、以前参加を打診されたのだと思いますよ。この BTS のような(Seedに同じ内容が垂れ流される)グレーゾーンを使ってやりとりするより、Security Watch Team の BTS を使用すれば、今回の件のようなことは起きなかったはずです。今後も脆弱性情報を提供されるおつもりでしたら、是非 Security Watch Team の一員になるべきだと私は思います。

(0002346) kazutaka (開発者) 2007-03-27 22:48	errata が発行されたので完了とします。ハラダ

課題の履歴
変更日	ユーザー名	項目	変更内容
2007-01-16 17:39	anonymous	新規課題
2007-01-16 17:41	anonymous	コメント追加: 0002340
2007-01-17 12:53	anonymous	コメント追加: 0002341
2007-01-19 18:18	anonymous	バージョン	3.2,4.0 => 4.0,VineSeed
2007-01-19 18:18	anonymous	パッケージ	kde-3.5.5-0vl2(plus) => tetex-3.0-0vl7
2007-01-19 18:18	anonymous	コメント追加: 0002342
2007-01-19 18:43	iwamoto	コメント追加: 0002343
2007-01-22 13:27	anonymous	コメント追加: 0002344
2007-01-22 15:49	anonymous	コメント追加: 0002345
2007-03-27 22:48	kazutaka	状態	新規 => 完了
2007-03-27 22:48	kazutaka	コメント追加: 0002346

関連