• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-2892-1 a2ps -- обновление безопасности

Главная Специалистам База уязвимостей DSA-2892-1 a2ps -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
a2ps (any)
Описание
В a2ps, преобразователе и системе форматирования Всё в
PostScript, были обнаружен несколько уязвимостей. Проект Common Vulnerabilities and
Exposures определяет следующие проблемы:

CVE-2001-1593
Функция spy_user, которая вызывается при вызове a2ps с флагом
    --debug, небезопасно использует временные файлы.
CVE-2014-0466
Брайан М. Карлсон сообщил, что сценарий fixps из состава a2ps не запускает
    gs с опцией -dSAFER. Следовательно, выполнение fixps над
    некорректным файлом в формате PostScript может приводить к удалению файлов или
    выполнению произвольных команд с привилегиями пользователя,
    запустившего fixps.

В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены
в версии 1:4.14-1.1+deb6u1.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 1:4.14-1.1+deb7u1.
В тестируемом (jessie) и нестабильном
(sid) выпусках эти проблемы будут исправлены позже.
Рекомендуется обновить пакеты a2ps.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 6:
noarch:
a2ps - 1:4.14-1.1+deb6u1
Debian GNU/Linux 7:
noarch:
a2ps - 1:4.14-1.1+deb7u1
Ссылки
http://www.debian.org/security/dsa-2892/

Источник: CVE
Наименование: CVE-2001-1593
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2001-1593

Источник: CVE
Наименование: CVE-2014-0466
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0466