Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-2892-1 a2ps

Debians sikkerhedsbulletin

DSA-2892-1 a2ps -- sikkerhedsopdatering

Rapporteret den:

31. mar 2014

Berørte pakker:

a2ps

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 737385, Fejl 742902.
I Mitres CVE-ordbog: CVE-2001-1593, CVE-2014-0466.

Yderligere oplysninger:

Flere sårbarheder er fundet i a2ps, en Anything to PostScript-converter (alt til PostScript) samt pretty-printer. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2001-1593

  Funktionen spy_user, som aktiveres når a2ps kaldes med flaget --debug, anvendte midlertidige filer på usikker vis.

• CVE-2014-0466

  Brian M. Carlson rapporterede at a2ps's fixps-skript ikke kaldte gs med valgmuligheden -dSAFER. Dermed kunne udførelse af fixps på en ondsindet PostScript-fil medføre, at filen blev slettet eller vilkårlige kommandoer udført med rettighederne hørende til brugeren, som kører fixps.

I den gamle stabile distribution (squeeze), er disse problemer rettet i version 1:4.14-1.1+deb6u1.

I den stabile distribution (wheezy), er disse problemer rettet i version 1:4.14-1.1+deb7u1.

I distributionen testing (jessie) og i den ustabile distribution (sid), vil disse problemer snart blive rettet.

Vi anbefaler at du opgraderer dine a2ps-pakker.