Erik Sjölund さんは、複数にわたるセキュリティ関連の問題を、ASCII テキストを Postscript やその他の形式に変換するプログラム enscript に発見しました。 The Common Vulnerabilities and Exposures project では以下の脆弱性を認識しています:
入力がサニタイズされていないため、EPSF パイプサポート経由で任意のコマンドの実行が可能です。 この機能は、開発元でも無効にされています。
ファイル名のサニタイズの欠落により、特別に作成したファイル名を使って任意のコードの実行が可能です。
プログラムをクラッシュ可能な複数のバッファオーバフローが存在します。
通常、enscript はローカルでのみ実行されますが、viewcvs の内部で実行されると、 上で挙げた問題のうちいくつかは、簡単にリモートからの脆弱性となります。
安定版ディストリビューション (stable、コードネーム woody) では、これらの問題はバージョン 1.6.3-1.3 で修正されています。
不安定版ディストリビューション (unstable、コードネーム sid) では、これらの問題はバージョン 1.6.4-6 で修正されています。
enscript パッケージのアップグレードをお勧めします。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。