Информация по безопасности / 2011 / Информация о безопасности -- DSA-2198-1 tex-common

Рекомендация Debian по безопасности

DSA-2198-1 tex-common -- недостаточная очистка ввода

Дата сообщения:

22.03.2011

Затронутые пакеты:

tex-common

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2011-1400.

Более подробная информация:

Матиас Свенссон обнаружил, что tex-common, пакет, поставляющий ряд сценариев и файлов настройки, необходимых для TeX, содержит небезопасные настройки для директивы shell_escape_commands. В зависимости от конкретного случая, это может приводить к выполнению произвольного кода, когда жертва запрашивает обработку некорректного tex-файла, либо этот запрос выполняется автоматически.

Предыдущий стабильный выпуск (lenny) не подвержен данной проблеме из-за того, что в нём отключён shell_escape.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 2.08.1.

В тестируемом (wheezy) и нестабильном (sid) выпусках эта проблема будет исправлена позже.

Рекомендуется обновить пакеты tex-common.