• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-3803-1 texlive-base -- обновление безопасности

Главная Специалистам База уязвимостей DSA-3803-1 texlive-base -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Описание
Было обнаружено, что texlive-base, пакет TeX Live, предоставляющий
необходимые для TeX программы и файлы, вносит mpost в белый список внешних
программ, которые можно запускать из исходного кода TeX (вызывая \write18).
Поскольку mpost позволяет определять другие запускаемые программы, злоумышленник может
использовать эту уязвимость для выполнения произвольного кода при компиляции
документа в формате TeX.
В стабильном выпуске (jessie) эта проблема была исправлена в
версии 2014.20141024-2+deb8u1.
В готовящемся стабильном выпуске (stretch) эта проблема была
исправлена в версии 2016.20161130-1.
В нестабильном выпуске (sid) эта проблема была исправлена в
версии 2016.20161130-1.
Рекомендуется обновить пакеты texlive-base.
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
latex-beamer - 2014.20141024-2+deb8u1
latex-xcolor - 2014.20141024-2+deb8u1
pgf - 2014.20141024-2+deb8u1
texlive - 2014.20141024-2+deb8u1
texlive-base - 2014.20141024-2+deb8u1
texlive-fonts-recommended - 2014.20141024-2+deb8u1
texlive-fonts-recommended-doc - 2014.20141024-2+deb8u1
texlive-full - 2014.20141024-2+deb8u1
texlive-generic-recommended - 2014.20141024-2+deb8u1
texlive-latex-base - 2014.20141024-2+deb8u1
texlive-latex-base-doc - 2014.20141024-2+deb8u1
texlive-latex-recommended - 2014.20141024-2+deb8u1
texlive-latex-recommended-doc - 2014.20141024-2+deb8u1
texlive-luatex - 2014.20141024-2+deb8u1
texlive-metapost - 2014.20141024-2+deb8u1
texlive-metapost-doc - 2014.20141024-2+deb8u1
texlive-omega - 2014.20141024-2+deb8u1
texlive-pictures - 2014.20141024-2+deb8u1
texlive-pictures-doc - 2014.20141024-2+deb8u1
texlive-xetex - 2014.20141024-2+deb8u1
Ссылки
http://www.debian.org/security/dsa-3803/

Источник: CVE
Наименование: CVE-2016-10243
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-10243