multiple buffer overflows in kpdf/koffice(KDE Security Advisory)
takezouです。 #kdeネタです。(KDEバカ一代) xpdfでセキュリティバク(一般的な話)が見つかっていますが、 kpdfでもxpdfと共通のコードを使っているそうで、KDE project からアドバイザリが出ています。 #対応したのは、Dirk Mueller <mueller@kde.org>みたいなんですけど... #SUSE版のupdateパッケージは、いつにでるのかな? <kde-announce(ML)のアーカイブ> http://lists.kde.org/?l=kde-announce&m=113399078604915&w=2 <KDE security advisory> http://www.kde.org/info/security/advisory-20051207-1.txt --- takezou -------------------------------------- STOP HIV/AIDS. Yahoo! JAPAN Redribbon Campaign 2005 http://pr.mail.yahoo.co.jp/redribbon/
takezouです。 #自己フォローモード On Thu, 08 Dec 2005 13:04:29 +0900 takezou <takezou040728@yahoo.co.jp> wrote:
xpdfでセキュリティバク(一般的な話)が見つかっていますが、 kpdfでもxpdfと共通のコードを使っているそうで、KDE project からアドバイザリが出ています。 #対応したのは、Dirk Mueller <mueller@kde.org>みたいなんですけど... #SUSE版のupdateパッケージは、いつにでるのかな?
パッチが完全じゃなかったようで、作りなおしているようです。 #ということで、これらのパッチを利用する場合は、気をつけてください。 -----(dirkのメールを引用しておきます。)-----
KDE Security Advisory: kpdf/xpdf multiple integer overflows Original Release Date: 2005-12-07 URL: http://www.kde.org/info/security/advisory-20051207-1.txt
The patches released here are broken and incomplete. We're working on the fix. -- Dirk//\ -------------------------------------------- P.S. GNOMEの情報をきちんと追っかけていませんが... gpdfでも同様のバグが見つかっているようです。 secuniaをチェックしていたらそれらしきものが載っていました。 http://secunia.com/advisories/17940/ --- takezou -------------------------------------- STOP HIV/AIDS. Yahoo! JAPAN Redribbon Campaign 2005 http://pr.mail.yahoo.co.jp/redribbon/
takezouです.(kdeバカ一代) #自己フォローモード(情報リークモード) On Fri, 09 Dec 2005 12:59:58 +0900 takezou <takezou040728@yahoo.co.jp> wrote:
xpdfでセキュリティバク(一般的な話)が見つかっていますが、 kpdfでもxpdfと共通のコードを使っているそうで、KDE project からアドバイザリが出ています。 #対応したのは、Dirk Mueller <mueller@kde.org>みたいなんですけど... #SUSE版のupdateパッケージは、いつにでるのかな? パッチが完全じゃなかったようで、作りなおしているようです。 #ということで、これらのパッチを利用する場合は、気をつけてください。 「KDE Security Advisory: kpdf/xpdf multiple integer overflows」 のパッチファイルのアップデート及びアナウンスメント(アップデート) の公開は、来年の1月中頃になるようです。 #xpdf(の開発元)と同期をとってアナウンスメントを出す為みたいです。
ソースツリー自体は既に fixしているようです。 revision 488715 以降でfixされているようです。 #svn(websvn)の使い方をイマイチ理解していませんけど... KDE 3.5.0(kdegraphics)だと以下のようなファイルが対象となるようです。 kpdf/xpdf/xpdf/JBIG2Stream.cc kpdf/xpdf/xpdf/Stream.cc kpdf/xpdf/xpdf/Stream.h kpdf/xpdf/xpdf/JPXStream.cc kpdf/xpdf/goo/gmem.c http://websvn.kde.org/trunk/KDE/kdegraphics/kpdf/xpdf/xpdf/?rev=488715 http://websvn.kde.org/trunk/KDE/kdegraphics/kpdf/xpdf/goo/?rev=488715 --- takezou -------------------------------------- STOP HIV/AIDS. Yahoo! JAPAN Redribbon Campaign 2005 http://pr.mail.yahoo.co.jp/redribbon/
takezouです。(kdeバカ一代) #自己フォローモード(しつこくレスモード) On Mon, 26 Dec 2005 13:04:35 +0900 takezou <takezou040728@yahoo.co.jp> wrote:
xpdfでセキュリティバク(一般的な話)が見つかっていますが、 kpdfでもxpdfと共通のコードを使っているそうで、KDE project からアドバイザリが出ています。 #対応したのは、Dirk Mueller <mueller@kde.org>みたいなんですけど... #SUSE版のupdateパッケージは、いつにでるのかな? パッチが完全じゃなかったようで、作りなおしているようです。 #ということで、これらのパッチを利用する場合は、気をつけてください。 「KDE Security Advisory: kpdf/xpdf multiple integer overflows」 のパッチファイルのアップデート及びアナウンスメント(アップデート) の公開は、来年の1月中頃になるようです。 #xpdf(の開発元)と同期をとってアナウンスメントを出す為みたいです。 この件のsecurity advisory(UPDATE)が公開されました。
<オリジナルのsecurity advisory(KDE project)> http://www.kde.org/info/security/advisory-20051207-2.txt http://lists.kde.org/?l=kde-announce&m=113638694504405&w=2 パッチのファイルはこっち。 ftp://ftp.kde.org/pub/kde/security_patches <SUSEのパッケージ(SL 10.1のSL-OSS-factory) ---ちなみに> kde 3.5系のブランチ(svn)の最新とのdiffをパッチ(3_5_BRANCH.diff) としてあてているようでは、fixされているようでした。 SL-OSS-factoryのsrpmのkdegraphics3-3.5.0-12.src.rpmでは。 #specファイルとパッチの中身を見て確認しました。(動作検証は未。) --- takezou -------------------------------------- Yahoo! Mail - supported by 10million people http://pr.mail.yahoo.co.jp/mail_pr/
participants (1)
-
takezou