Bulletin d'alerte Debian
DSA-1917-1 mimetex -- Plusieurs vulnérabilités
- Date du rapport :
- 24 octobre 2009
- Paquets concernés :
- mimetex
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 537254.
Dans le dictionnaire CVE du Mitre : CVE-2009-1382, CVE-2009-2459. - Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans mimeTeX, une alternative légère à MathML. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2009-1382
Chris Evans et Damien Miller ont découvert plusieurs dépassements de tampon de pile. Un attaquant pourrait exécuter du code arbitraire à l'aide d'un fichier TeX avec de grandes étiquettes picture, circle, et input.
- CVE-2009-2459
Chris Evans a découvert que mimeTeX contenait certaines directives qui pourraient ne pas convenir au traitement d'entrée utilisateur non fiable. Un attaquant distant peut obtenir des renseignements sensibles.
Pour la distribution oldstable (Etch), ces problèmes ont été corrigés dans la version 1.50-1+etch1.
À cause d'un bogue dans le système de l'archive, le correctif pour la distribution stable (Lenny) sera publié en tant que version 1.50-1+lenny1 dès qu'il sera disponible.
Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.50-1.1.
Nous vous recommandons de mettre à jour vos paquets mimetex.
- CVE-2009-1382
- Corrigé dans :
-
Debian GNU/Linux 4.0 (etch)
- Source :
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1.dsc
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1.diff.gz
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.