Debians sikkerhedsbulletin
DSA-1917-1 mimetex -- flere sårbarheder
- Rapporteret den:
- 24. okt 2009
- Berørte pakker:
- mimetex
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 537254.
I Mitres CVE-ordbog: CVE-2009-1382, CVE-2009-2459. - Yderligere oplysninger:
-
Flere sårbarheder er opdaget i mimetex, et letvægtsalternativ til MathML. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2009-1382
Chris Evans og Damien Miller opdagede flere stakbaserede bufferoverløb. En angriber kunne udføre vilkårlig kode gennem en TeX-fil med lange picture-, circle- og input-tags.
- CVE-2009-2459
Chris Evans opdagede at mimeTeX indeholdt visse direktiver, der kan være uegnede til håndtering af inddata fra brugere, der ikke er tillid til. En fjernangriber kunne få adgang til følsomme oplysninger.
I den gamle stabile distribution (etch), er disse problemer rettet i version 1.50-1+etch1.
På grund af en fejl i arkivsystemet, vil rettelsen i den stabile distribution (lenny) blive udgivet som version 1.50-1+lenny1, når den er tilgængelig.
I distributionen testing (squeeze) og i den ustabile distribution (sid), er disse problemer rettet i version 1.50-1.1.
Vi anbefaler at du opgraderer dine mimetex-pakker.
- CVE-2009-1382
- Rettet i:
-
Debian GNU/Linux 4.0 (etch)
- Kildekode:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1.dsc
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1.diff.gz
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_sparc.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.