セキュリティ情報 / 2011 / セキュリティ情報 -- DSA-2198-1 tex-common

Debian セキュリティ勧告

DSA-2198-1 tex-common -- 入力の不十分なサニタイズ

報告日時:

2011-03-22

影響を受けるパッケージ:

tex-common

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2011-1400.

詳細:

Mathias Svensson さんにより、TeX で必要になるスクリプトや設定ファイル を集めたパッケージ tex-common に、shell_escape_commands ディレクティ ブの安全でない設定が含まれていることが発見されました。シナリオによっ ては、被害者が悪意を持って作成された TeX ファイルを処理するよう騙され たり、同様のことが自動で行われたりする場合には、任意のコードの実行も 可能です。

旧安定版ディストリビューション (lenny) では shell_escape は無効化されているため、この問題の影響はありません。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 2.08.1 で修正されています。

テスト版 (wheezy) および不安定版 (unstable) ディストリビューションで は、この問題は近く修正予定です。

直ぐに tex-common パッケージをアップグレードすることを勧めます。