Рекомендация Debian по безопасности

DSA-2198-1 tex-common -- недостаточная очистка ввода

Дата сообщения:
22.03.2011
Затронутые пакеты:
tex-common
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2011-1400.
Более подробная информация:

Матиас Свенссон обнаружил, что tex-common, пакет, поставляющий ряд сценариев и файлов настройки, необходимых для TeX, содержит небезопасные настройки для директивы shell_escape_commands. В зависимости от конкретного случая, это может приводить к выполнению произвольного кода, когда жертва запрашивает обработку некорректного tex-файла, либо этот запрос выполняется автоматически.

Предыдущий стабильный выпуск (lenny) не подвержен данной проблеме из-за того, что в нём отключён shell_escape.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 2.08.1.

В тестируемом (wheezy) и нестабильном (sid) выпусках эта проблема будет исправлена позже.

Рекомендуется обновить пакеты tex-common.