Risque
Exécution de code arbitraire à distance.
Systèmes affectés
evince versions 2.x.
Résumé
Plusieurs vulnérabilités ont été corrigées dans evince, un lecteur de documents pouvant lire différents format de fichiers (PDF, DVI, PostScript) pour l'environnement de bureau GNOME. L'exploitation réussie de celles-ci peut permettre l'exécution de code arbitraire à distance.
Description
Quatres vulnérabilités dans le moteur de rendu de fichiers DVI ont été corrigées. En forçant un utilisateur à afficher un fichier DVI spécialement conçu, un attaquant peut terminer l'exécution d'evince ou exécuter du code arbitraire avec les droits de cet utilisateur.
Solution
Se référer aux bulletins de sécurité des différentes distributions utilisant ce logiciel pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Système de gestion de code source du projet evince :
http://git.gnome.org/browse/evince/commit/?id=d4139205b010ed06310d14284e63114e88ec6de2
- Bulletin de sécurité Red Hat :
https://rhn.redhat.com/errata/RHSA-2011-0009.html
- Bulletin de sécurité Ubuntu USN-1035-1 du 05 janvier 2011 :
http://www.ubuntulinux.org/usn/usn-1035-1
- Bulletin de sécurité Fedora FEDORA-2011-0208 du 07 janvier 2011 :
http://lists.fedoraproject.org/pipermail/package-announce/2011-January/052910.html
- Référence CVE CVE-2010-2640 :
https://www.cve.org/CVERecord?id=CVE-2010-2640
- Référence CVE CVE-2010-2641 :
https://www.cve.org/CVERecord?id=CVE-2010-2641
- Référence CVE CVE-2010-2642 :
https://www.cve.org/CVERecord?id=CVE-2010-2642
- Référence CVE CVE-2010-2643 :
https://www.cve.org/CVERecord?id=CVE-2010-2643