阿里云漏洞库

低危 Artifex jbig2dec 'jbig2_decode_symbol_dict'函数整数溢出漏洞

CVE编号

CVE-2017-7885

利用情况

暂无

补丁情况

官方补丁

披露时间

2017-04-17

漏洞描述

Artifex jbig2dec是一个用于Ghostscript和MuPDF中解码PDF文件中的JBIG2流的实现。

Artifex jbig2dec 0.13版本中的libjbig2dec.a的jbig2_symbol_dict.c文件的'jbig2_decode_symbol_dict'函数存在整数溢出漏洞。攻击者可借助特制的.jb2文件利用该漏洞造成拒绝服务（应用程序崩溃）或获取内存进程中的敏感信息。

解决建议

目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法：
https://artifex.com/

参考链接
http://www.debian.org/security/2017/dsa-3855
https://bugs.ghostscript.com/show_bug.cgi?id=697703
https://security.gentoo.org/glsa/201708-10

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	artifex	jbig2dec	0.13	-
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 0.13-4.1
	运行在以下环境
	系统	debian_10	jbig2dec	*		Up to (excluding) 0.13-4.1
	运行在以下环境
	系统	debian_11	jbig2dec	*		Up to (excluding) 0.13-4.1
	运行在以下环境
	系统	debian_12	jbig2dec	*		Up to (excluding) 0.13-4.1
	运行在以下环境
	系统	debian_7	jbig2dec	*		Up to (excluding) 0.13-4~deb7u2
	运行在以下环境
	系统	debian_8	jbig2dec	*		Up to (excluding) 0.13-4~deb8u1
	运行在以下环境
	系统	fedora_24	ghostscript-debuginfo	*		Up to (excluding) 9.20-9.fc24
	运行在以下环境
	系统	fedora_25	mupdf-devel	*		Up to (excluding) 9.20-9.fc25
	运行在以下环境
	系统	fedora_26	mupdf-devel	*		Up to (excluding) 9.20-10.fc26
	运行在以下环境
	系统	fedora_EPEL_7	jbig2dec	*		Up to (excluding) 0.12-4.el7
	运行在以下环境
	系统	ubuntu_14.04	jbig2dec	*		Up to (excluding) 0.11+20120125-1ubuntu1.1
	运行在以下环境
	系统	ubuntu_14.04.6_lts	jbig2dec	*		Up to (excluding) 0.11+20120125-1ubuntu1.1
	运行在以下环境
	系统	ubuntu_16.04	jbig2dec	*		Up to (excluding) 0.12+20150918-1ubuntu0.1
	运行在以下环境
	系统	ubuntu_16.04.7_lts	jbig2dec	*		Up to (excluding) 0.12+20150918-1ubuntu0.1
	运行在以下环境
	系统	ubuntu_18.04.5_lts	jbig2dec	*		Up to (excluding) 0.13-4.1
	运行在以下环境
	系统	ubuntu_18.10	jbig2dec	*		Up to (excluding) 0.13-4.1

攻击路径

本地
攻击复杂度

复杂
权限要求

无需权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

100

CWE-ID	漏洞类型
CWE-190	整数溢出或超界折返