LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2017 / Informations sur la sécurité -- DLA-1204-1 evince

Bulletin d'alerte Debian

DLA-1204-1 evince -- Mise à jour de sécurité pour LTS

Date du rapport :

11 décembre 2017

Paquets concernés :

evince

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2017-1000159.

Plus de précisions :

Il existait une injection de commande arbitraire dans l’afficheur de PDF evince.

Un nom intégré de fichier DVI contrefait pour l'occasion pourrait être exploité pour exécuter des commandes en tant qu’utilisateur lors de l’export en PDF par la fonction d’impression.

Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 3.4.0-3.1+deb7u2.

de evince

Nous vous recommandons de mettre à jour vos paquets evince.