Bulletin d'alerte Debian

DSA-3803-1 texlive-base -- Mise à jour de sécurité

Date du rapport :
8 mars 2017
Paquets concernés :
texlive-base
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-10243.
Plus de précisions :

texlive-base, le paquet TeX Live qui fournit les fichiers et programmes essentiels de TeX, met sur sa liste blanche mpost en tant que programme externe pouvant être exécuté à partir de l'intérieur du code source de TeX (appelé \write18). Dans la mesure où mpost permet de spécifier d'autres programmes à exécuter, un attaquant peut tirer avantage de ce défaut pour exécuter du code arbitraire lors de la compilation d'un document TeX.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 2014.20141024-2+deb8u1.

Pour la prochaine distribution stable (Stretch), ce problème a été corrigé dans la version 2016.20161130-1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2016.20161130-1.

Nous vous recommandons de mettre à jour vos paquets texlive-base.