公告ID(KYSA-202104-1331)
公告ID:KYSA-202104-1331
公告摘要:okular安全漏洞
等级:Moderate
发布日期:2021-04-08
详细介绍
1.修复的CVE
·CVE-2018-16646
描述:在Poppler 0.68.0中,Parser::getObj()函数解析器.cc可能会通过精心编制的文件导致无限递归。远程攻击者可以利用此漏洞进行DoS攻击。
·CVE-2018-18897
描述:Poppler中发现了一个问题。GfxState.cc中的GfxColorSpace::setDisplayProfile中存在内存泄漏。
·CVE-2018-19058
描述:在Linux内核中发现了一个缺陷。Intel Wireless WiFi MVM固件驱动程序在设备核心转储期间错误处理资源清理。能够同时触发设备核心转储和系统内存不足情况的攻击者可以利用此漏洞使系统崩溃。此漏洞的最大威胁是系统可用性。
·CVE-2018-19059
描述:在第3代设备初始化期间,Linux内核中的Intel无线驱动程序处理资源清理的方式中发现了一个缺陷。此漏洞允许攻击者在设备初始化时限制对DMA一致内存的访问,从而使系统崩溃。
·CVE-2018-19060
描述:Linux内核5.3.9之前版本的drivers/iio/imu/adis_buffer.c中的adis_update_scan_mode()函数存在内存泄漏,攻击者可导致拒绝服务(内存消耗),即CID-ab612b1daf41。
·CVE-2018-19149
描述:0.70.0之前的Poppler在从Poppler_annot_file_attachment_get_attachment调用时,在_Poppler_attachment_new中有一个空指针取消引用。
·CVE-2018-20481
描述:外部参照::getEntryXRef.cc在Poppler 0.72.0中,错误处理未分配的外部参照项,当从中的Parser::makeStream调用XRef.h中的XRefEntry::setFlag时,远程攻击者可借助特制的PDF文档造成拒绝服务(空指针取消引用)解析器.cc.
·CVE-2018-20650
描述:Poppler 0.72.0中的一个可访问的Object::dictLookup断言允许攻击者由于缺少对dict数据类型的检查而导致拒绝服务,如使用FileSpec类(in文件规范.cc)在PDF详细信息中。
·CVE-2018-20662
描述:在Poppler 0.72.0中,PDFDoc::setup InPDFDoc.cc允许攻击者通过制作一个PDF文件来造成拒绝服务(由Object.h SIGABRT引起的应用程序崩溃,这是由于PDFDoc::setup的错误返回值造成的)。
·CVE-2019-7310
描述:在Poppler 0.73.0中,一种基于堆的缓冲区覆盖读(由于XRef.cc)允许远程攻击者通过特制的PDF文档造成拒绝服务(应用程序崩溃)或可能产生其他未指明的影响,如pdftocairo所示。
·CVE-2019-9200
描述:位于的ImageStream::getLine()中存在基于堆的缓冲区包销流.cc在Poppler 0.74.0中,可以(例如)通过向pdfimages二进制文件发送一个特制的PDF文件来触发。它允许攻击者造成拒绝服务(分段错误)或可能产生其他未指明的影响。
·CVE-2019-9631
描述:Poppler 0.74.0在CairoRescaleBox.cc下采样行框过滤函数。
2.受影响的软件包
·中标麒麟高级服务器操作系统 V7
·aarch64架构:
okular、okular-devel、okular-libs、okular-part
·x86_64架构:
okular、okular-devel、okular-libs、okular-part
3.软件包修复版本
·中标麒麟高级服务器操作系统 V7 (aarch64、x86_64)
okular-4.10.5-7.el7或以上版本
okular-devel-4.10.5-7.el7或以上版本
okular-libs-4.10.5-7.el7或以上版本
okular-part-4.10.5-7.el7或以上版本
4.修复方法
方法一:配置源进行升级安装
1.打开软件包源配置文件,根据仓库地址进行修改。
仓库源地址:
中标麒麟高级服务器操作系统 V7
aarch64:https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/aarch64/
x86_64:https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/
2.配置完成后执行更新命令进行升级,命令如下:
yum update Packagename
方法二:下载安装包进行升级安装
通过软件包地址下载软件包,使用软件包升级命令根据受影响的软件包
列表进行升级安装, 命令如下:
yum install Packagename
3.升级完成后是否需要重启服务或操作系统:
CVE-2018-16646:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2018-18897:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2018-19058:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2018-19059:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2018-19060:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2018-19149:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2018-20481:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2018-20650:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2018-20662:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2019-7310:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2019-9200:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2019-9631:无需重启操作系统与服务即可使漏洞修复生效。
5.软件包下载地址
·中标麒麟高级服务器操作系统 V7
okular(aarch64)软件包下载地址:
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/aarch64/Packages/okular-4.10.5-7.el7.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/aarch64/Packages/okular-devel-4.10.5-7.el7.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/aarch64/Packages/okular-libs-4.10.5-7.el7.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/aarch64/Packages/okular-part-4.10.5-7.el7.aarch64.rpm
okular(x86_64)软件包下载地址:
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/okular-4.10.5-7.el7.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/okular-devel-4.10.5-7.el7.i686.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/okular-devel-4.10.5-7.el7.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/okular-libs-4.10.5-7.el7.i686.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/okular-libs-4.10.5-7.el7.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/okular-part-4.10.5-7.el7.x86_64.rpm
注:其他相关依赖包请到相同目录下载
6.修复验证
使用软件包查询命令,查看相关软件包版本是否与修复版本一致,如果版本一致,则说明修复成功。
sudo rpm -qa | grep Packagename