Рекомендация Debian по безопасности
DSA-1917-1 mimetex -- несколько уязвимостей
- Дата сообщения:
- 24.10.2009
- Затронутые пакеты:
- mimetex
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 537254.
В каталоге Mitre CVE: CVE-2009-1382, CVE-2009-2459. - Более подробная информация:
-
В mimetex, легковесной альтернативе MathML, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2009-1382
Крис Эванс и Дэмиен Миллер обнаружили многочисленные переполнения буфера. Злоумышленник может выполнять произвольный код с помощью TeX-файла с длинным изображением, кругом, входными тегами.
- CVE-2009-2459
Крис Эванс обнаружил, что mimeTeX содержит определённые директивы, которые могут оказаться неподходящими для обработки недоверенных пользовательских входных данных. Удалённый злоумышленник может получить чувствительную информацию.
В предыдущем стабильном выпуске (etch) эти проблемы были исправлены в версии 1.50-1+etch1.
Из-за ошибки в системе архива исправление для стабильного выпуска (lenny) будет выпущено под версией 1.50-1+lenny1 по мере доступности.
В тестируемом (squeeze) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 1.50-1.1.
Рекомендуется обновить пакеты mimetex.
- CVE-2009-1382
- Исправлено в:
-
Debian GNU/Linux 4.0 (etch)
- Исходный код:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1.dsc
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1.diff.gz
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_sparc.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.