Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2198-1 tex-common

Debians sikkerhedsbulletin

DSA-2198-1 tex-common -- utilstrækkelig fornuftighedskontrol af inddata

Rapporteret den:

22. mar 2011

Berørte pakker:

tex-common

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2011-1400.

Yderligere oplysninger:

Mathias Svensson opdagede at tex-common, en pakke indeholdende en række skripter og opsætningsfiler som TeX har brug for, indeholdt usiker indstillinger for direktivet shell_escape_commands. Afhængigt af situationen, kunne det medføre udførelse af vilkårlig kode, når et offer blev narret til at behandle en ondsindet tex-fil eller hvis det blev gjort på en automatiseret måde.

Den gamle stabile distribution (lenny) er ikke påvirket af dette problem, da shell_escape er deaktiveret.

I den stabile distribution (squeeze), er dette problem rettet i version 2.08.1.

I distributionen testing (wheezy) og i den ustabile (sid) distributions, vil dette problem snart blive rettet.

Vi anbefaler at du opgraderer dine tex-common-pakker.