Информация по безопасности / 2020 / Информация о безопасности -- DSA-4624-1 evince

Рекомендация Debian по безопасности

DSA-4624-1 evince -- обновление безопасности

Дата сообщения:

14.02.2020

Затронутые пакеты:

evince

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 927820.
В каталоге Mitre CVE: CVE-2017-1000159, CVE-2019-11459, CVE-2019-1010006.

Более подробная информация:

В evince, простой программе для просмотра многостраничных документов, было обнаружено несколько уязвимостей.

• CVE-2017-1000159

  Тобиас Мюллер сообщил, что код для экспорта в DVI в evince может содержать уязвимость, приводящую к введению команд с помощью специально сформированных имён файлов.

• CVE-2019-11459

  Энди Нгуен сообщил, что функции tiff_document_render() и tiff_document_get_thumbnail() в движке документов в формате TIFF не обрабатывают ошибки функции TIFFReadRGBAImageOriented(), что приводит к раскрытию неинициализированной памяти при обработке файлов с TIFF-изображениями.

• CVE-2019-1010006

  В движке tiff было обнаружено переполнение буфера, которое может приводить к отказу в обслуживании или выполнению произвольного кода при открытии специально сформированного PDF-файла.

В предыдущем стабильном выпуске (stretch) эти проблемы были исправлены в версии 3.22.1-3+deb9u2.

В стабильном выпуске (buster) эти проблемы были исправлены в версии 3.30.2-3+deb10u1. Стабильный выпуск подвержен только уязвимости CVE-2019-11459.

Рекомендуется обновить пакеты evince.

С подробным статусом поддержки безопасности evince можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/evince