Debians sikkerhedsbulletin

DSA-3098-1 graphviz -- sikkerhedsopdatering

Rapporteret den:
11. dec 2014
Berørte pakker:
graphviz
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 772648.
I Mitres CVE-ordbog: CVE-2014-9157.
Yderligere oplysninger:

Joshua Rogers opdagede en formatstrengssårbarhed i funktionen yyerror i lib/cgraph/scan.l som indgår i Graphviz, en omfattende værktøjssæt til tegning af grafer. En angriber kunne udnytte fejlen til at få graphviz til at gå ned eller muligvis udføre vilkårlig kode.

I den stabile distribution (wheezy), er dette problem rettet i version 2.26.3-14+deb7u2.

I den kommende stabile distribution (jessie), vil dette problem snart blive rettet i version 2.38.0-7.

I den ustabile distribution (sid), er dette problem rettet i version 2.38.0-7.

Vi anbefaler at du opgraderer dine graphviz-pakker.