低危 Poppler堆缓冲区溢出漏洞

CVE编号

CVE-2015-8868

利用情况

暂无

补丁情况

官方补丁

披露时间

2016-05-07
漏洞描述
Poppler是一个用于生成PDF的C++类库,该库是从Xpdf继承而来。

Poppler存在堆缓冲区溢出漏洞,允许远程攻击者可利用该漏洞构建特殊文件,诱使用户解析,可使应用程序崩溃。
解决建议
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://cgit.freedesktop.org/poppler/poppler/commit/?id=b3425dd3261679958cd56c0f71995c15d2124433
参考链接
http://lists.fedoraproject.org/pipermail/package-announce/2016-April/183107.html
http://lists.fedoraproject.org/pipermail/package-announce/2016-April/183142.html
http://lists.opensuse.org/opensuse-updates/2016-05/msg00068.html
http://lists.opensuse.org/opensuse-updates/2016-06/msg00077.html
http://rhn.redhat.com/errata/RHSA-2016-2580.html
http://www.debian.org/security/2016/dsa-3563
http://www.openwall.com/lists/oss-security/2016/04/12/1
http://www.securityfocus.com/bid/89324
http://www.ubuntu.com/usn/USN-2958-1
https://bugs.freedesktop.org/show_bug.cgi?id=93476
https://cgit.freedesktop.org/poppler/poppler/commit/?id=b3425dd3261679958cd56...
https://poppler.freedesktop.org/releases.html
https://security.gentoo.org/glsa/201611-15
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 freedesktop poppler 0.39.0 -
运行在以下环境
系统 amazon_AMI poppler * Up to
(excluding)
0.22.5-6.16.amzn1
运行在以下环境
系统 canonical ubuntu_linux 12.04 -
运行在以下环境
系统 canonical ubuntu_linux 14.04 -
运行在以下环境
系统 canonical ubuntu_linux 15.10 -
运行在以下环境
系统 centos_7 poppler * Up to
(excluding)
0.26.5-16.el7
运行在以下环境
系统 debian debian_linux 8.0 -
运行在以下环境
系统 debian_10 poppler * Up to
(excluding)
0.38.0-3
运行在以下环境
系统 debian_11 poppler * Up to
(excluding)
0.38.0-3
运行在以下环境
系统 debian_12 poppler * Up to
(excluding)
0.38.0-3
运行在以下环境
系统 debian_7 poppler * Up to
(excluding)
0.18.4-6+deb7u1
运行在以下环境
系统 debian_8 poppler * Up to
(excluding)
0.26.5-2+deb8u1
运行在以下环境
系统 fedoraproject fedora 23 -
运行在以下环境
系统 fedora_22 mingw64-poppler * Up to
(excluding)
0.30.0-4.fc22
运行在以下环境
系统 fedora_23 mingw64-poppler * Up to
(excluding)
0.34.0-2.fc23
运行在以下环境
系统 opensuse_13.2 poppler-qt5 * Up to
(excluding)
0.26.5-6.1
运行在以下环境
系统 opensuse_Leap_42.1 typelib-1_0-Poppler-0_18 * Up to
(excluding)
0.24.4-12.1
运行在以下环境
系统 oracle_7 oraclelinux-release * Up to
(excluding)
0.26.5-16.el7
运行在以下环境
系统 redhat_7 poppler * Up to
(excluding)
0.26.5-16.el7
运行在以下环境
系统 suse_11_SP4 libpoppler5 * Up to
(excluding)
0.12.3-1.12.1
运行在以下环境
系统 suse_12 libpoppler44 * Up to
(excluding)
0.24.4-12.1
运行在以下环境
系统 suse_12_SP1 libpoppler-glib8 * Up to
(excluding)
0.24.4-12.1
运行在以下环境
系统 ubuntu_12.04.5_lts poppler * Up to
(excluding)
0.18.4-1ubuntu3.2
运行在以下环境
系统 ubuntu_14.04 poppler * Up to
(excluding)
0.24.5-2ubuntu4.4
运行在以下环境
系统 ubuntu_14.04.6_lts poppler * Up to
(excluding)
0.24.5-2ubuntu4.4
运行在以下环境
系统 ubuntu_16.04.7_lts poppler * Up to
(excluding)
0.41.0-0ubuntu1
阿里云评分
2.9
  • 攻击路径
    本地
  • 攻击复杂度
    复杂
  • 权限要求
    无需权限
  • 影响范围
    有限影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    100
CWE-ID 漏洞类型
CWE-119 内存缓冲区边界内操作的限制不恰当
阿里云安全产品覆盖情况