{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Tout syst\u00e8me (Unix, Microsoft DOS/Windows) utilisant xpdf versions 2 jusqu'\u00e0 3.0 (ou des versions d\u00e9riv\u00e9es telles Gnome gpdf ou KDE kpdf) comme lecteur de documents PDF ;","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"tout syst\u00e8me Unix utilisant le service d'impression CUPS (pour les sources jusqu'\u00e0 la version 1.1.22rc2).","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nLes lecteurs xpdf depuis la version 2.0 jusqu'\u00e0 la version 3.0\ncomportent plusieurs d\u00e9bordements d'entiers (r\u00e9f\u00e9rences CVE\nCAN-2004-0888 et CAN-2004-0889). Ils peuvent alors \u00eatre utilis\u00e9s pour\nex\u00e9cuter du code arbitraire avec les privil\u00e8ges de l'utilisateur\nconsultant un document PDF volontairement mal construit.\n\nCUPS est un service d'impression disponible sur de nombreux syst\u00e8mes\nUnix. Il est souvent accessible par le r\u00e9seau \u00e0 l'aide du protocole IPP\n(\\`\\`Internet Printing Protocol'') sur le port 631/tcp. Un utilisateur\ndistant mal intentionn\u00e9 peut alors lui soumettre un document PDF\nhabilement construit qui provoquera l'ex\u00e9cution de code avec les\nprivil\u00e8ges du service (g\u00e9n\u00e9ralement l'utilisateur lp).\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section documentation).\n","cves":[],"links":[{"title":"Mise \u00e0 jour de s\u00e9curit\u00e9 du paquetage NetBSD xpdf :","url":"ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/print/xpdf/README.html"},{"title":"Site Internet de xpdf :","url":"http://www.foolabs.com/xpdf/"},{"title":"Bulletins de s\u00e9curit\u00e9 Mandrake :        xpdf, MDKSA-2004:113 du 21          octobre 2004 :          \n   gpdf, MDKSA-2004:114 du 21          octobre 2004 :          \n   kdegraphics (kpdf), MDKSA-2004:115 du 21 octobre 2004          :          \n  CUPS, MDKSA-2004:116 du 21 octobre 2004 :","url":"http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:114"},{"title":"Bulletin de s\u00e9curit\u00e9 Debian :       CUPS, DSA-573 du 21 octobre 2004 :","url":"http://www.debian.org/security/2004/dsa-573"},{"title":"Bulletin de s\u00e9curit\u00e9 Gentoo GLSA 200410-20 du 21 octobre    2004 :","url":"http://www.gentoo.org/security/en/glsa/glsa-200410-20.xml"},{"title":"gpdf, MDKSA-2004:114 du 21          octobre 2004 :","url":"http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:114"},{"title":"CUPS, MDKSA-2004:116 du 21 octobre 2004 :","url":"http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:116"},{"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA-599 du 25 novembre 2004 :","url":"http://www.debian.org/security/2004/dsa-599"},{"title":"Bulletins de s\u00e9curit\u00e9 Mandrake :        xpdf, MDKSA-2004:113 du 21          octobre 2004 :          \n   gpdf, MDKSA-2004:114 du 21          octobre 2004 :          \n   kdegraphics (kpdf), MDKSA-2004:115 du 21 octobre 2004          :          \n  CUPS, MDKSA-2004:116 du 21 octobre 2004 :","url":"http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:113"},{"title":"CUPS, DSA-573 du 21 octobre 2004 :","url":"http://www.debian.org/security/2004/dsa-573"},{"title":"Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2004:592 du 27 octobre    2004 :","url":"http://rhn.redhat.com/errata/RHSA-2004-592.html"},{"title":"Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2004:543 du 22 octobre    2004 :","url":"http://rhn.redhat.com/errata/RHSA-2004-543.html"},{"title":"Bulletin de s\u00e9curit\u00e9 FreeBSD pour xpdf du 25 octobre 2004 :","url":"http://www.vuxml.org/freebsd/"},{"title":"Site Internet de CUPS :","url":"http://www.cups.org"},{"title":"Bulletin de s\u00e9curit\u00e9 OpenBSD pour xpdf du 23 octobre 2004 :","url":"http://www.vuxml.org/openbsd/"},{"title":"Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2005:066 du 15 f\u00e9vrier    2005 :","url":"http://rhn.redhat.com/errata/RHSA-2005-066.html"},{"title":"kdegraphics (kpdf), MDKSA-2004:115 du 21 octobre 2004          :","url":"http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:115"},{"title":"Bulletin de s\u00e9curit\u00e9 SUSE SUSE-SA:2004:039 du 26 octobre    2004 :","url":"http://www.suse.com/de/security/2004_39_pdftools_cups.html"},{"title":"Bulletins de s\u00e9curit\u00e9 Mandrake :        xpdf, MDKSA-2004:113 du 21          octobre 2004 :          \n   gpdf, MDKSA-2004:114 du 21          octobre 2004 :          \n   kdegraphics (kpdf), MDKSA-2004:115 du 21 octobre 2004          :          \n  CUPS, MDKSA-2004:116 du 21 octobre 2004 :","url":"http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:115"},{"title":"Bulletins de s\u00e9curit\u00e9 Mandrake :        xpdf, MDKSA-2004:113 du 21          octobre 2004 :          \n   gpdf, MDKSA-2004:114 du 21          octobre 2004 :          \n   kdegraphics (kpdf), MDKSA-2004:115 du 21 octobre 2004          :          \n  CUPS, MDKSA-2004:116 du 21 octobre 2004 :","url":"http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:116"},{"title":"xpdf, MDKSA-2004:113 du 21          octobre 2004 :","url":"http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:113"}],"reference":"CERTA-2004-AVI-357","revisions":[{"description":"ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 RedHat RHSA-2005:066.","revision_date":"2004-02-17T00:00:00.000000"},{"description":"version initiale.","revision_date":"2004-10-22T00:00:00.000000"},{"description":"ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 Gentoo, RedHat, SUSE, FreeBSD, OpenBSD et NetBSD.","revision_date":"2004-11-25T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Debian.","revision_date":"2004-11-26T00:00:00.000000"}],"risks":[{"description":"D\u00e9ni de service ; ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"Plusieurs failles ont \u00e9t\u00e9 identifi\u00e9es dans <span\nclass=\"textit\">xpdf</span>. Elles permettent \u00e0 un individu mal\nintentionn\u00e9, via un document PDF habilement construit, d'ex\u00e9cuter du\ncode arbitraire avec les privil\u00e8ges de l'utilisateur.\n\nCes failles affectent les produits qui reprennent du code de <span\nclass=\"textit\">xpdf</span>, en particulier les lecteurs <span\nclass=\"textit\">gdf</span>, <span class=\"textit\">kpdf</span> et le\nservice d'impression CUPS (\\`\\`Common Unix Printing System'').\n","title":"Vuln\u00e9rabilit\u00e9s du lecteur PDF xpdf et de ses d\u00e9riv\u00e9s et du service d'impression CUPS","vendor_advisories":[]}