Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2198-1 tex-common

Bulletin d'alerte Debian

DSA-2198-1 tex-common -- Vérification d'entrée manquante

Date du rapport :

22 mars 2011

Paquets concernés :

tex-common

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2011-1400.

Plus de précisions :

Mathias Svensson a découvert que tex-common, un paquet embarquant de nombreux scripts et fichiers de configuration nécessaires à TeX, contient des réglages non sécurisés pour la directive shell_escape_commands. Suivant le scénario, cela peut conduire à l'exécution de code arbitraire si une victime est piégée dans le traitement d'un fichier TeX malveillant ou si c'est fait de manière automatique.

La distribution oldstable (Lenny) n'est pas concernée par ce problème puisque shell_escape est désactivée.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.08.1.

Pour les distributions testing (Wheezy) et unstable (Sid), ce problème sera corrigé prochainement.

Nous vous recommandons de mettre à jour vos paquets tex-common.