Debian セキュリティ勧告

DSA-3098-1 graphviz -- セキュリティ更新

報告日時:
2014-12-11
影響を受けるパッケージ:
graphviz
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 772648.
Mitre の CVE 辞書: CVE-2014-9157.
詳細:

Joshua Rogers さんが豊富なグラフ描画ツール群 Graphviz の lib/cgraph/scan.l 中の yyerror 関数にフォーマット文字列脆弱性を発見しています。攻撃者がこの欠陥を悪用して graphviz のクラッシュや潜在的には任意のコードの実行を引き起こすことが可能です。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 2.26.3-14+deb7u2 で修正されています。

次期安定版 (stable) ディストリビューション (jessie) では、この問題はバージョン 2.38.0-7 で近く修正予定です。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 2.38.0-7 で修正されています。

直ちに graphviz パッケージをアップグレードすることを勧めます。