Рекомендация Debian по безопасности

DSA-3803-1 texlive-base -- обновление безопасности

Дата сообщения:
08.03.2017
Затронутые пакеты:
texlive-base
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2016-10243.
Более подробная информация:

Было обнаружено, что texlive-base, пакет TeX Live, предоставляющий необходимые для TeX программы и файлы, вносит mpost в белый список внешних программ, которые можно запускать из исходного кода TeX (вызывая \write18). Поскольку mpost позволяет определять другие запускаемые программы, злоумышленник может использовать эту уязвимость для выполнения произвольного кода при компиляции документа в формате TeX.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 2014.20141024-2+deb8u1.

В готовящемся стабильном выпуске (stretch) эта проблема была исправлена в версии 2016.20161130-1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 2016.20161130-1.

Рекомендуется обновить пакеты texlive-base.