-------------------------------------------------------------------------- Alerta de Segurança Debian DSA 207-1 security@debian.org http://www.debian.org/security/ Martin Schulze 11 de Dezembro de 2002 http://www.debian.org/security/faq -------------------------------------------------------------------------- Pacote : tetex-bin Vulnerabilidade : execução de comando arbitrários Tipo de Problema : remoto Específico ao Debian : não Id CVE : CAN-2002-0836 O time de segurança da SuSE descobriu uma vulnerabilidade na biblioteca kpathsea (libkpathsea) que é usada pelo xdvi e dvips. Ambos programas chamam a função system() inseguramente, o que permite que um atacante remoto execute comandos arbitrários através de arquivos DVI habilmente modificados. Se o dvips é usado como um filtro de impressão, isto permite que um atacante local ou remoto com permissões de impressão execute código arbitrário como o usuário da impressora (geralmente lp). Este problema foi corrigido na versão 1.0.7+20011202-7.1 para a atual distribuição estável (woody), na versão 1.0.6-7.3 para a antiga distribuição estável (potato) e na versão 1.0.7+20021025-4 para a distribuição instável (sid). Os pacotes xdvik-ja e dvipsk-ja também estão vulneráveis, mas chamam a biblioteca kpathsea dinamicamente e será corrigido automaticamente depois que uma nova ibkpathsea for instalada. Nós recomendamos que você atualize seu pacote tetex-lib imediatamente. -------------------------------------------------------------------------- Essa é uma tradução do DSA original, enviado para a lista debian-security-announce@lists.debian.org. Caso queira receber os alertas em inglês e minutos depois de sua publicação, inscreva-se na lista acima, através do endereço: http://www.debian.org/MailingLists/subscribe#debian-security-announce --------------------------------------------------------------------------
Attachment:
pgpGEFZDwMVkF.pgp
Description: PGP signature