O time de segurança da SuSE descobriu uma vulnerabilidade na biblioteca kpathsea (libkpathsea) que é usada pelo xdvi e dvips. Ambos programas chamam a função system() inseguramente, o que permite que um atacante remoto execute comandos arbitrários através de arquivos DVI habilmente modificados.
Se o dvips é usado como um filtro de impressão, isto permite que um atacante local ou remoto com permissões de impressão execute código arbitrário como o usuário da impressora (geralmente lp).
Este problema foi corrigido na versão 1.0.7+20011202-7.1 para a atual distribuição estável (woody), na versão 1.0.6-7.3 para a antiga distribuição estável (potato) e na versão 1.0.7+20021025-4 para a distribuição instável (sid). Os pacotes xdvik-ja e dvipsk-ja também estão vulneráveis, mas chamam a biblioteca kpathsea dinamicamente e será corrigido automaticamente depois que uma nova ibkpathsea for instalada.
Nós recomendamos que você atualize seu pacote tetex-lib imediatamente.
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.