Säkerhetsbulletin från Debian
DSA-1917-1 mimetex -- flera sårbarheter
- Rapporterat den:
- 2009-10-24
- Berörda paket:
- mimetex
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 537254.
I Mitres CVE-förteckning: CVE-2009-1382, CVE-2009-2459. - Ytterligare information:
-
Flera sårbarheter har upptäckts i mimetex, ett lättviktsalternativ till MathML. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2009-1382
Chris Evans och Damien Miller upptäckte flera stackbaserade buffertspill. En angripare kunde exekvera godtycklig kod med hjälp av en TeX-fil med långa picture-, circle- eller input-taggar.
- CVE-2009-2459
Chris Evans upptäckte att mimeTeX innehöll särskilda direktiv som kan vara olämpliga för hantering av opålitlig användarindata. En angripare utifrån kan erhålla känslig information.
För den gamla stabila utgåvan (Etch) har dessa problem rättats i version 1.50-1+etch1.
På grund av ett fel i arkivsystemet, kommer rättelsen för den stabila utgåvan (Lenny) att släppas som version 1.50-1+lenny1 så snart den finns tillgänglig.
För uttestningsutgåvan (Squeeze) och den instabila utgåvan (Sid) har dessa problem rättats i version 1.50-1.1.
Vi rekommenderar att ni uppgraderar era mimetex-paket.
- CVE-2009-1382
- Rättat i:
-
Debian GNU/Linux 4.0 (etch)
- Källkod:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1.dsc
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1.diff.gz
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/m/mimetex/mimetex_1.50-1+etch1_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.