Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
a2ps
(any)
Описание
В a2ps, преобразователе и системе форматирования Всё в
PostScript, были обнаружен несколько уязвимостей. Проект Common Vulnerabilities and
Exposures определяет следующие проблемы:
CVE-2001-1593
Функция spy_user, которая вызывается при вызове a2ps с флагом
--debug, небезопасно использует временные файлы.
CVE-2014-0466
Брайан М. Карлсон сообщил, что сценарий fixps из состава a2ps не запускает
gs с опцией -dSAFER. Следовательно, выполнение fixps над
некорректным файлом в формате PostScript может приводить к удалению файлов или
выполнению произвольных команд с привилегиями пользователя,
запустившего fixps.
В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены
в версии 1:4.14-1.1+deb6u1.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 1:4.14-1.1+deb7u1.
В тестируемом (jessie) и нестабильном
(sid) выпусках эти проблемы будут исправлены позже.
Рекомендуется обновить пакеты a2ps.
PostScript, были обнаружен несколько уязвимостей. Проект Common Vulnerabilities and
Exposures определяет следующие проблемы:
CVE-2001-1593
Функция spy_user, которая вызывается при вызове a2ps с флагом
--debug, небезопасно использует временные файлы.
CVE-2014-0466
Брайан М. Карлсон сообщил, что сценарий fixps из состава a2ps не запускает
gs с опцией -dSAFER. Следовательно, выполнение fixps над
некорректным файлом в формате PostScript может приводить к удалению файлов или
выполнению произвольных команд с привилегиями пользователя,
запустившего fixps.
В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены
в версии 1:4.14-1.1+deb6u1.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 1:4.14-1.1+deb7u1.
В тестируемом (jessie) и нестабильном
(sid) выпусках эти проблемы будут исправлены позже.
Рекомендуется обновить пакеты a2ps.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 6:
noarch:
a2ps - 1:4.14-1.1+deb6u1
Debian GNU/Linux 7:
noarch:
a2ps - 1:4.14-1.1+deb7u1
Debian GNU/Linux 6:
noarch:
a2ps - 1:4.14-1.1+deb6u1
Debian GNU/Linux 7:
noarch:
a2ps - 1:4.14-1.1+deb7u1
Ссылки
http://www.debian.org/security/dsa-2892/
Источник: CVE
Наименование: CVE-2001-1593
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2001-1593
Источник: CVE
Наименование: CVE-2014-0466
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0466
Источник: CVE
Наименование: CVE-2001-1593
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2001-1593
Источник: CVE
Наименование: CVE-2014-0466
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0466