Confira !!
O pacote poppler anterior à versão 21.01.0-1 é vulnerável à execução arbitrária de códigos.
Aviso de segurança do Arch Linux ASA-202101-3
=================================================
Gravidade: alta
Data: 2021-01-04
CVE-ID: CVE-2020-35702
Pacote: poppler
Tipo: execução arbitrária de código
Remoto: Não
Link: https://security.archlinux.org/AVG-1382
Resumo
=======
O poppler de pacotes antes da versão 21.01.0-1 é vulnerável a
execução de código.
Resolução
==========
Atualize para 21.01.0-1.
# pacman -Syu "poppler> = 21.01.0-1"
O problema foi corrigido na versão 21.01.0.
Workaround
==========
Nenhum.
Descrição
===========
DCTStream :: getChars em DCTStream.cc no Poppler 20.12.1 tem um baseado em heap
estouro de buffer por meio de um documento PDF criado.
Impacto
======
Um invasor pode ser capaz de executar código arbitrário por meio de um PDF criado
documento.
Referências
==========
https://gitlab.freedesktop.org/poppler/poppler/-/issues/1011
https://gitlab.freedesktop.org/poppler/poppler/uploads/8455cee26a313a3a0174a01e4ec80e33/poc
https://gitlab.freedesktop.org/poppler/poppler/-/commit/ae614bf8ab42c9d0c7ac57ecdfdcbcfc4ff6c639
https://security.archlinux.org/CVE-2020-35702
Até a próxima !!
Nenhum comentário:
Postar um comentário