Debians sikkerhedsbulletin

DSA-5232-1 tinygltf -- sikkerhedsopdatering

Rapporteret den:
21. sep 2022
Berørte pakker:
tinygltf
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 1019357.
I Mitres CVE-ordbog: CVE-2022-3008.
Yderligere oplysninger:

Man opdagede at funktionen wordexp() i tinygltf, et bibliotek til indlæse og gemme glTF-filer (GL Transmission Format), var sårbart over for kommandoudførelse ved behandling af filer, der ikke er tillid til.

I den stabile distribution (bullseye), er dette problem rettet i version 2.5.0+dfsg-3+deb11u1.

Vi anbefaler at du opgraderer dine tinygltf-pakker.

For detaljeret sikkerhedsstatus vedrørende tinygltf, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/tinygltf