Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-2892-1 a2ps

Bulletin d'alerte Debian

DSA-2892-1 a2ps -- Mise à jour de sécurité

Date du rapport :

31 mars 2014

Paquets concernés :

a2ps

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 737385, Bogue 742902.
Dans le dictionnaire CVE du Mitre : CVE-2001-1593, CVE-2014-0466.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans a2ps, un convertisseur universel vers PostScript et un utilitaire d'impression convivial. Le projet Common Vulnerabilities and Exposures (CVE) identifie les problèmes suivants :

• CVE-2001-1593

  La fonction spy_user, qui est appelée lorsque a2ps est invoqué avec le drapeau --debug, utilise des fichiers temporaires de manière non fiable.

• CVE-2014-0466

  Brian M. Carlson a signalé que le script fixps de a2ps n'invoque pas gs avec l'option -dSAFER. Exécuter fixps sur un fichier PostScript malveillant pourrait avoir comme conséquence la suppression de fichiers ou l'exécution d'une commande arbitraire avec les privilèges de l'utilisateur de fixps.

Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 1:4.14-1.1+deb6u1.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1:4.14-1.1+deb7u1.

Pour la distribution testing (Jessie) et unstable (Sid), ces problèmes seront fixés prochainement.

Nous vous recommandons de mettre à jour vos paquets a2ps.