Debians sikkerhedsbulletin
DSA-4624-1 evince -- sikkerhedsopdatering
- Rapporteret den:
- 14. feb 2020
- Berørte pakker:
- evince
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 927820.
I Mitres CVE-ordbog: CVE-2017-1000159, CVE-2019-11459, CVE-2019-1010006. - Yderligere oplysninger:
-
Flere sårbarheder blev opdaget i evince, et simpelt program til visning af dokumenter.
- CVE-2017-1000159
Tobias Mueller rapporterede at DVI-eksportfunktionen i evince var sårbar over for en kommandindsprøjtningssårbarhed gennem særligt fremstillede filnavne.
- CVE-2019-11459
Andy Nguyen rapporterede at funktionerne tiff_document_render() og tiff_document_get_thumbnail() i TIFF-dokumentbackend'en ikke håndterede fejl fra TIFFReadRGBAImageOriented(), førende til blotlæggelse af uinitialiseret hukommelse, når der blev behandlet TIFF-billederfiler.
- CVE-2019-1010006
En bufferoverløbssårbarhed i TIFF-backend'en, kunne føre til lammelsesangreb eller potentielt udførelse af vilkårlig kode, hvis en særligt fremstillet PDF-fil blev åbnet.
I den gamle stabile distribution (stretch), er disse problemer rettet i version 3.22.1-3+deb9u2.
I den stabile distribution (buster), er disse problemer rettet i version 3.30.2-3+deb10u1. The stable distribution is only affected by CVE-2019-11459.
Vi anbefaler at du opgraderer dine evince-pakker.
For detaljeret sikkerhedsstatus vedrørende evince, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/evince
- CVE-2017-1000159