PoDoFo拒绝服务漏洞（CNVD-2017-04559）

admin

0
文章

0
评论

2023-12-02 16:33:39 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

低危 PoDoFo拒绝服务漏洞（CNVD-2017-04559）

CVE编号

CVE-2017-7378

利用情况

暂无

补丁情况

官方补丁

披露时间

2017-04-03

漏洞描述

PoDoFo是一个开源的、使用C++编写的PDF文件格式的库。 PoDoFo 0.9.5版本的PdfPainter.cpp中的PoDoFo :: PdfPainter :: ExpandTabs函数存在拒绝服务漏洞，远程攻击者可通过精心制作的PDF文档导致拒绝服务（堆缓冲区溢出和应用程序崩溃）。

解决建议

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接:https://blogs.gentoo.org/ago/2017/03/31/podofo-heap-based-buffer-overflow-in-podofopdfpainterexpandtabs-pdfpainter-cpp

参考链接
http://www.securityfocus.com/bid/97296
https://blogs.gentoo.org/ago/2017/03/31/podofo-heap-based-buffer-overflow-in-...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	podofo_project	podofo	0.9.5	-
	运行在以下环境
	系统	alpine_3.13	podofo	*		Up to (excluding) 0.9.6-r0
	运行在以下环境
	系统	alpine_3.14	podofo	*		Up to (excluding) 0.9.6-r0
	运行在以下环境
	系统	alpine_3.15	podofo	*		Up to (excluding) 0.9.6-r0
	运行在以下环境
	系统	alpine_3.16	podofo	*		Up to (excluding) 0.9.6-r0
	运行在以下环境
	系统	alpine_3.17	podofo	*		Up to (excluding) 0.9.6-r0
	运行在以下环境
	系统	alpine_3.18	podofo	*		Up to (excluding) 0.9.6-r0
	运行在以下环境
	系统	alpine_edge	podofo	*		Up to (excluding) 0.9.6-r0
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 0.9.4-6
	运行在以下环境
	系统	debian_10	libpodofo	*		Up to (excluding) 0.9.4-6
	运行在以下环境
	系统	debian_11	libpodofo	*		Up to (excluding) 0.9.4-6
	运行在以下环境
	系统	debian_12	libpodofo	*		Up to (excluding) 0.9.4-6
	运行在以下环境
	系统	debian_7	libpodofo	*		Up to (excluding) 0.9.0-1.1+deb7u2
	运行在以下环境
	系统	debian_sid	libpodofo	*		Up to (excluding) 0.9.4-6
	运行在以下环境
	系统	fedora_27	podofo-libs	*		Up to (excluding) 0.9.5-6.fc27
	运行在以下环境
	系统	fedora_28	podofo-libs	*		Up to (excluding) 0.9.5-6.fc28
	运行在以下环境
	系统	opensuse_Leap_42.3	libpodofo-devel	*		Up to (excluding) 0.9.6-10.3.1
	运行在以下环境
	系统	suse_12	libpodofo0_9_2	*		Up to (excluding) 0.9.2-3.3
	运行在以下环境
	系统	suse_12_SP3	libpodofo0_9_2	*		Up to (excluding) 0.9.2-3.3.1
	运行在以下环境
	系统	ubuntu_18.04.5_lts	libpodofo	*		Up to (excluding) 0.9.5-9
	运行在以下环境
	系统	ubuntu_18.10	libpodofo	*		Up to (excluding) 0.9.5-9