Säkerhetsbulletin från Debian

DSA-3803-1 texlive-base -- säkerhetsuppdatering

Rapporterat den:
2017-03-08
Berörda paket:
texlive-base
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2016-10243.
Ytterligare information:

Man har upptäckt att texlive-base, TeX Live-paketet som tillhandahåller de grundläggande TeX-programmen och filerna, vitlistar mpost som ett externt program för att köras i TeX-källkoden (kallat \write18). Eftersom mpost tillåter att specificera andra program som skall köras, kan en angripare dra fördel av denna brist för godtycklig exekvering av kod vid kompilering av ett TeX-dokument.

För den stabila utgåvan (Jessie) har detta problem rättats i version 2014.20141024-2+deb8u1.

För den kommande stabila utgåvan (Stretch) har detta problem rättats i version 2016.20161130-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 2016.20161130-1.

Vi rekommenderar att ni uppgraderar era texlive-base-paket.