{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"ggv versions 1.0.2 et pr\u00e9c\u00e9dentes ;","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}},{"description":"gv versions 3.5.8 et pr\u00e9c\u00e9dentes ;","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}},{"description":"KGhostView livr\u00e9 avec les versions 1.1 \u00e0 3.0.a du projet KDE.","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\n## 4.1 La vuln\u00e9rabilit\u00e9\n\nghostscript est un logiciel qui interpr\u00e8te les langages PostScript et\nPortable Document Format (PDF) et qui s'utilise en ligne de commande\npour, le plus souvent :\n\n-   afficher un fichier PostScript ou PDF \u00e0 l'\u00e9cran ;\n-   imprimer un tel fichier sur une imprimante qui ne conna\u00eet pas le\n    PostScript ;\n-   ainsi que diverses autres manipulations du PostScript ou du PDF.\n\ngv est une interface graphique qui dispense d'utiliser ghostscript en\nligne de commande. gv est utilis\u00e9 pour lire \u00e0 l'\u00e9cran un fichier\nPostScript ou PDF.\n\nggv est l'int\u00e9gration du logiciel gv dans le projet GNOME.\n\nKGhostView est l'int\u00e9gration du logiciel gv dans le projet KDE. Le\nlogiciel KGhostView est contenu dans le paquetage kdegraphics.\n\nUn d\u00e9bordement de variable dans le programme gv (versions 3.5.8 et\ninf\u00e9rieures) permet \u00e0 un utilisateur mal intention\u00e9 de construire un\nfichier PDF ou PostScript et inciter un utilisateur na\u00eff \u00e0 le visualiser\navec gv. Ce fichier astucieusement construit, lors de sa visualisation\npar le biais des versions vuln\u00e9rables de gv, ex\u00e9cute un code choisi par\nl'utilisateur mal intentionn\u00e9.\n\nggv \u00e9tant un d\u00e9veloppement bas\u00e9 sur gv, les versions de ggv ant\u00e9rieures\n\u00e0 1.0.2 sont vuln\u00e9rables \u00e0 ce d\u00e9bordement de variables.\n\nKGhostView est aussi bas\u00e9 sur gv. Les versions non corrig\u00e9es ant\u00e9rieures\n\u00e0 la version 3.0.4 de kdegraphics sont vuln\u00e9rables.\n\n## 4.2 Suis-je vuln\u00e9rable ?\n\nPour d\u00e9terminer la version de gv, il suffit d'entrer la commande\nsuivante dans un terminal :\n\n    $ gv -v\n    gv 3.5.8\n    $\n\nIci la version de gv est vuln\u00e9rable.\n\n    $ ggv --version\n    Gnome gnome-ghostview 1.1.96\n    $\n\nCette version de ggv n'est pas vuln\u00e9rable.\n\n    $ kghostview -v\n    Qt: 2.3.1\n    KDE: 2.2.2\n    KGhostView 0.12\n    $\n\nCette version de KGhostView est vuln\u00e9rable.\n\n## Solution\n\nSi vous utilisez ggv, assurez-vous qu'il s'agit d'une version r\u00e9cente de\nggv (version sup\u00e9rieure \u00e0 1.0.2), si besoin, mettre \u00e0 jour ggv.\n\nSi vous utilisez KDE, mettez \u00e0 jour KGhostView. Des patches sont\ndisponibles sur le site ftp du projet KDE, pour les versions 2.2.2 et\n3.0.3 de KDE. Une autre solution est d'utiliser une version r\u00e9cente de\nkdegraphics. La version 3.0.4 corrige cette vuln\u00e9rabilit\u00e9.\n\nCertains vendeurs proposent des correctifs pour cette vuln\u00e9rabilit\u00e9, par\nexemple :\n\n**Mandrake**\n\n:   http://www.mandrakesecure.net/en/advisories/2002/MDKSA-2002-069.php\n\n        http://www.mandrakesecure.net/en/advisories/2002/MDKSA-2002-071.php\n\n**RedHat**\n\n:   https://rhn.redhat.com/errata/RHSA-2002-207.html\n\n**SUN Linux**\n\n:   http://sunsolve.Sun.COM/pub-cgi/retrieve.pl?doc=fsalert%2F47780&zone_32=category%3Asecurity\n\n**Debian**\n\n:   http://www.debian.org/security\n","cves":[],"links":[{"title":"Le projet KDE propose des correctifs sur le site","url":"ftp://ftp.kde.org/pub/kde/security_patches"},{"title":"Le logiciel gv est fournit par le site      \n;","url":"http://wwwthep.physik.uni-mainz.de/~plass/gv"},{"title":"Les logiciel ggv est d\u00e9velopp\u00e9 dans le cadre du    projet GNOME :","url":"ftp://ftp.gnome.org/pub/gnome/sources/ggv"},{"title":"la version de KGhostView \u00e0 jour (vis-\u00e0-vis de    cette vuln\u00e9rabilit\u00e9) est disponible \u00e0 l'adresse suivante dans    le paquetage kdegraphics :","url":"http://download.kde.org/stable/3.0.4"}],"reference":"CERTA-2002-AVI-227","revisions":[{"description":"version initiale.","revision_date":"2002-10-15T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence SUN Linux et Debian.","revision_date":"2002-10-18T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence Mandrake Linux.","revision_date":"2002-10-31T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire"}],"summary":"Une vuln\u00e9rabilit\u00e9 dans les logiciels gv, ggv et KGhostView permet par le\nbiais d'un document PostScript ou PDF astucieusement construit\nd'ex\u00e9cuter un code arbitraire.\n","title":"D\u00e9bordement de variable dans gv","vendor_advisories":[{"published_at":null,"title":"CVE CAN-2002-0838","url":null},{"published_at":null,"title":"Avis de s\u00e9curit\u00e9 Mandrake MDKSA-2002-069 et MDKSA-2002-071","url":null},{"published_at":null,"title":"Alerte SUN : 47780","url":null},{"published_at":null,"title":"Avis de s\u00e9curit\u00e9 Debian DSA 176-1","url":null}]}