Debians sikkerhedsbulletin

DSA-2198-1 tex-common -- utilstrækkelig fornuftighedskontrol af inddata

Rapporteret den:
22. mar 2011
Berørte pakker:
tex-common
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2011-1400.
Yderligere oplysninger:

Mathias Svensson opdagede at tex-common, en pakke indeholdende en række skripter og opsætningsfiler som TeX har brug for, indeholdt usiker indstillinger for direktivet shell_escape_commands. Afhængigt af situationen, kunne det medføre udførelse af vilkårlig kode, når et offer blev narret til at behandle en ondsindet tex-fil eller hvis det blev gjort på en automatiseret måde.

Den gamle stabile distribution (lenny) er ikke påvirket af dette problem, da shell_escape er deaktiveret.

I den stabile distribution (squeeze), er dette problem rettet i version 2.08.1.

I distributionen testing (wheezy) og i den ustabile (sid) distributions, vil dette problem snart blive rettet.

Vi anbefaler at du opgraderer dine tex-common-pakker.