GLSA 201709-07: Kpathsea: User-assisted execution of arbitrary code
| Опасность: | средняя |
| Заголовок: | Kpathsea: User-assisted execution of arbitrary code |
| Дата: | 17.09.2017 |
| Ошибки: | |
| ID: | 201709-07 |
Сводка
A vulnerability in Kpathsea allows remote attackers to execute arbitrary commands by manipulating the -tex option from mpost program.Назначение
Kpathsea is a library to do path searching. It is used by TeX Live and others TeX related software.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| dev-libs/kpathsea | < 6.2.2_p20160523 | >= 6.2.2_p20160523 | All supported architectures |
Описание
It was discovered that the mpost program from the shell_escape_commands list is capable of executing arbitrary external programs during the conversion of .tex files. The responsible function is runpopen() (texmfmp.c).
Воздействие
A remote attacker, by enticing a user to open a specially crafted .tex file, could possibly execute arbitrary code with the privileges of the process.
Обход
There is no known workaround at this time.
Решение
All Kpathsea users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose
">=dev-libs/kpathsea-6.2.2_p20160523"
Packages which depend on this library may need to be recompiled. Tools such as revdep-rebuild may assist in identifying some of these packages.
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.