Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-2892-1 a2ps

Säkerhetsbulletin från Debian

DSA-2892-1 a2ps -- säkerhetsuppdatering

Rapporterat den:

2014-03-31

Berörda paket:

a2ps

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 737385, Fel 742902.
I Mitres CVE-förteckning: CVE-2001-1593, CVE-2014-0466.

Ytterligare information:

Flera sårbarheter har upptäckts i a2ps, en Vadsomhelst till PostScript-konverterare och skrivare för snygga utskrifter. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2001-1593

  Funktionen spy_user som anropas när a2ps startas med --debug-flaggan använde osäkra temporära filer.

• CVE-2014-0466

  Brian M. Carlson rapporterade att a2ps's fixps-skript inte anropar gs med -dSAFER-alternativet. Som en konsekvens av att köra fixps på en illasinnad PostScript-fil kan det resultera i att filer raderas eller att skadliga kommandon körs med samma rättigheter som användaren som kör a2ps.

För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i version 1:4.14-1.1+deb6u1.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1:4.14-1.1+deb7u1.

För uttestningsutgåvan (Jessie) och den instabila utgåvan (Sid) kommer dessa problem att rättas inom kort.

Vi rekommenderar att ni uppgraderar era a2ps-paket.