Säkerhetsbulletin från Debian
DSA-654-1 enscript -- flera sårbarheter
- Rapporterat den:
- 2005-01-21
- Berörda paket:
- enscript
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2004-1184, CVE-2004-1185, CVE-2004-1186.
- Ytterligare information:
-
Erik Sjölund upptäckte flera säkerhetsrelaterade problem i enscript, ett program för att omvandla ASCII-text till Postscript och andra format. Projektet Common Vulnerabilities and Exposures identifierar följande sårbarheter:
- CAN-2004-1184
Indata som inte städas kan leda till exekvering av godtyckliga kommandon via stödet för EPSF-rör. Detta har inaktiverats, även uppströms.
- CAN-2004-1185
På grund av att filnamn inte städades var det möjligt att ett specialskrivet filnamn kunde leda till exekvering av godtyckliga kommandon.
- CAN-2004-1186
Flera buffertspill kan få programmet att krascha.
Normalt körs enscript enbart lokalt, men eftersom det exekveras inuti viewcvs kan vissa av problemen som omnämns ovan enkelt bli sårbarheter som kan utnyttjas utifrån.
För den stabila utgåvan (Woody) har dessa problem rättats i version 1.6.3-1.3.
För den instabila utgåvan (Sid) har dessa problem rättats i version 1.6.4-6.
Vi rekommenderar att ni uppgraderar ert enscript-paket.
- CAN-2004-1184
- Rättat i:
-
Debian GNU/Linux 3.0 (woody)
- Källkod:
- http://security.debian.org/pool/updates/main/e/enscript/enscript_1.6.3-1.3.dsc
- http://security.debian.org/pool/updates/main/e/enscript/enscript_1.6.3-1.3.diff.gz
- http://security.debian.org/pool/updates/main/e/enscript/enscript_1.6.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/e/enscript/enscript_1.6.3-1.3.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/e/enscript/enscript_1.6.3-1.3_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/e/enscript/enscript_1.6.3-1.3_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/e/enscript/enscript_1.6.3-1.3_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/e/enscript/enscript_1.6.3-1.3_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/e/enscript/enscript_1.6.3-1.3_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/e/enscript/enscript_1.6.3-1.3_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/e/enscript/enscript_1.6.3-1.3_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/e/enscript/enscript_1.6.3-1.3_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/e/enscript/enscript_1.6.3-1.3_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/e/enscript/enscript_1.6.3-1.3_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/e/enscript/enscript_1.6.3-1.3_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.