Säkerhetsinformation / 2018 / Säkerhetsinformation -- DSA-4299-1 texlive-bin

Säkerhetsbulletin från Debian

DSA-4299-1 texlive-bin -- säkerhetsuppdatering

Rapporterat den:

2018-09-21

Berörda paket:

texlive-bin

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 909317.
I Mitres CVE-förteckning: CVE-2018-17407.

Ytterligare information:

Nick Roessler från University of Pennsylvania har upptäckt ett buffertspill i texlive-bin, de körbara filerna för TexLive, den populära distributionen av produktionssystemet för TeX-dokument.

Detta buffertspill kan användas för exekvering av godtycklig kod genom att skapa ett speciell type1-typsnitt (.pfb) och tillhandahålla det för användare som kör pdf(la)tex, dvips eller luatex på ett sätt så att typsnittet laddas.

För den stabila utgåvan (Stretch) har detta problem rättats i version 2016.20160513.41080.dfsg-2+deb9u1.

Vi rekommenderar att ni uppgraderar era texlive-bin-paket.

För detaljerad säkerhetsstatus om texlive-bin vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/texlive-bin