セキュリティ情報 / 2014 / セキュリティ情報 -- DSA-3098-1 graphviz

Debian セキュリティ勧告

DSA-3098-1 graphviz -- セキュリティ更新

報告日時:

2014-12-11

影響を受けるパッケージ:

graphviz

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 772648.
Mitre の CVE 辞書: CVE-2014-9157.

詳細:

Joshua Rogers さんが豊富なグラフ描画ツール群 Graphviz の lib/cgraph/scan.l 中の yyerror 関数にフォーマット文字列脆弱性を発見しています。攻撃者がこの欠陥を悪用して graphviz のクラッシュや潜在的には任意のコードの実行を引き起こすことが可能です。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 2.26.3-14+deb7u2 で修正されています。

次期安定版 (stable) ディストリビューション (jessie) では、この問題はバージョン 2.38.0-7 で近く修正予定です。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 2.38.0-7 で修正されています。

直ちに graphviz パッケージをアップグレードすることを勧めます。