Debian DLA-3548-1:qpdf - LTS 安全更新
medium Nessus 插件 ID 180269
语言:
简介
远程 Debian 主机上缺少一个或多个与安全性相关的更新。描述
远程 Debian 10 主机上安装的程序包受到 dla-3548 公告中提及的多个漏洞影响。- 在 QPDF 8.2.1 中,libqpdf/QPDFWriter.cc 中的 QPDFWriter: :unparseObject 和 QPDFWriter: :unparseChild 会长时间执行递归调用,远程攻击者可利用此问题,通过特制的 PDF 文件造成拒绝服务。(CVE-2018-18020)
- 在 QPDF 版本 10.0.4中发现了一个问题,允许远程攻击者通过 Pl_ASCII85Decoder 的构建 .pdf 文件执行任意代码::在 libqpdf 中写入参数。 (CVE-2021-25786)
- 在 QPDF 9.x 至 9.1.1 和 10.x 至 10.0.4 版中,当特定的下游写入失败时,Pl_ASCII85Decoder: :write(从 Pl_AES_PDF: :flush 和 Pl_AES_PDF: :finish)。(CVE-2021-36978)
请注意,Nessus 尚未测试这些问题,而是只依靠应用程序自我报告的版本号进行判断。
解决方案
升级 qpdf 程序包。对于 Debian 10 buster,已在 8.4.0-2+deb10u1 版本中修复这些问题。
另见
https://security-tracker.debian.org/tracker/source-package/qpdf
https://www.debian.org/lts/security/2023/dla-3548
https://security-tracker.debian.org/tracker/CVE-2018-18020
https://security-tracker.debian.org/tracker/CVE-2021-25786
插件详情
严重性: Medium
ID: 180269
文件名: debian_DLA-3548.nasl
版本: 1.1
类型: local
代理: unix
发布时间: 2023/8/30
最近更新时间: 2023/9/28
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 4.2
CVSS v2
风险因素: Medium
基本分数: 4.3
时间分数: 3.4
矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:P
CVSS 分数来源: CVE-2021-36978
CVSS v3
风险因素: Medium
基本分数: 5.3
时间分数: 4.8
矢量: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS 分数来源: CVE-2021-25786
漏洞信息
CPE: p-cpe:/a:debian:debian_linux:libqpdf-dev, p-cpe:/a:debian:debian_linux:libqpdf21, p-cpe:/a:debian:debian_linux:qpdf, cpe:/o:debian:debian_linux:10.0
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可利用: true
易利用性: Exploits are available
补丁发布日期: 2023/8/29
漏洞发布日期: 2018/10/6