• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-207-1 tetex-bin -- выполнение произвольных команд

Главная Специалистам База уязвимостей DSA-207-1 tetex-bin -- выполнение произвольных команд

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
libkpathsea3 (any) libkpathsea-dev (any) tetex-bin (any) tetex-dev (any) tetex-lib (any)
Описание
Команда безопасности SuSE обнаружила уязвимое место в библиотеке
kpathsea (libkpathsea), используемой xdvi и dvips. Обе эти программы
используют небезопасный вызов функции system(), что позволяет
удалённому нападающему выполнять произвольные команды с помощью
старательно созданных файлов DVI.
Если dvips используется как фильтр печати, это позволяет локальному
или удалённому нападающему с правом печати выполнить произвольный код
от имени пользователя принтера (обычно lp).
Эта проблема исправлена в версии 1.0.7+20011202-7.1 в текущем
стабильном дистрибутиве (woody), в версии 1.0.6-7.3 в старом стабильном
дистрибутиве (potato) и в версии 1.0.7+20021025-4 в нестабильном
дистрибутиве (sid). xdvik-ja и dvipsk-ja также уязвимыми, но связаны
с библиотекой kpathsea динамически и будут автоматически исправлены
при установке новой версии libkpathsea.
Мы рекомендуем вам немедленно обновить пакет tetex-lib.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 3.0:
ppc:
libkpathsea-dev - 1.0.7+20011202-7.1
libkpathsea3 - 1.0.7+20011202-7.1
tetex-bin - 1.0.7+20011202-7.1
s390x:
libkpathsea-dev - 1.0.7+20011202-7.1
libkpathsea3 - 1.0.7+20011202-7.1
tetex-bin - 1.0.7+20011202-7.1
m68k:
libkpathsea-dev - 1.0.7+20011202-7.1
libkpathsea3 - 1.0.7+20011202-7.1
tetex-bin - 1.0.7+20011202-7.1
i686:
libkpathsea-dev - 1.0.7+20011202-7.1
libkpathsea3 - 1.0.7+20011202-7.1
tetex-bin - 1.0.7+20011202-7.1
hppa:
libkpathsea-dev - 1.0.7+20011202-7.1
libkpathsea3 - 1.0.7+20011202-7.1
tetex-bin - 1.0.7+20011202-7.1
sparc:
libkpathsea-dev - 1.0.7+20011202-7.1
libkpathsea3 - 1.0.7+20011202-7.1
tetex-bin - 1.0.7+20011202-7.1
alpha:
libkpathsea-dev - 1.0.7+20011202-7.1
libkpathsea3 - 1.0.7+20011202-7.1
tetex-bin - 1.0.7+20011202-7.1
ia64:
libkpathsea-dev - 1.0.7+20011202-7.1
libkpathsea3 - 1.0.7+20011202-7.1
tetex-bin - 1.0.7+20011202-7.1
mips:
libkpathsea-dev - 1.0.7+20011202-7.1
libkpathsea3 - 1.0.7+20011202-7.1
tetex-bin - 1.0.7+20011202-7.1
mipsel:
libkpathsea-dev - 1.0.7+20011202-7.1
libkpathsea3 - 1.0.7+20011202-7.1
tetex-bin - 1.0.7+20011202-7.1
arm:
libkpathsea-dev - 1.0.7+20011202-7.1
libkpathsea3 - 1.0.7+20011202-7.1
tetex-bin - 1.0.7+20011202-7.1
Debian GNU/Linux 2.2:
ppc:
tetex-bin - 1.0.6-7.3
tetex-dev - 1.0.6-7.3
tetex-lib - 1.0.6-7.3
m68k:
tetex-bin - 1.0.6-7.3
tetex-dev - 1.0.6-7.3
tetex-lib - 1.0.6-7.3
i686:
tetex-bin - 1.0.6-7.3
tetex-dev - 1.0.6-7.3
tetex-lib - 1.0.6-7.3
sparc:
tetex-bin - 1.0.6-7.3
tetex-dev - 1.0.6-7.3
tetex-lib - 1.0.6-7.3
alpha:
tetex-bin - 1.0.6-7.3
tetex-dev - 1.0.6-7.3
tetex-lib - 1.0.6-7.3
arm:
tetex-bin - 1.0.6-7.3
tetex-dev - 1.0.6-7.3
tetex-lib - 1.0.6-7.3
Ссылки
http://www.debian.org/security/dsa-207/

Источник: CVE
Наименование: CVE-2002-0836
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-0836