ГлавнаяБаза уязвимостей БДУ → BDU:2017-01834
7.5высокая

BDU:2017-01834

Уязвимость пакета texlive-base дистрибутива системы компьютерной вёрстки TeX Live, позволяющая нарушителю выполнить произвольные команды
Опубликовано: 2017-08-18
Описание

Уязвимость пакета texlive-base дистрибутива системы компьютерной вёрстки TeX Live связана с включением команды mpost в список команд, разрешённых для запуска из исходного кода TeX (команда mpost позволяет определить другие запускаемые программы). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды в ходе компиляции документа в формате TeX путём включения команды mpost в shell_escape_commands конфигурационного файла texmf.cnf

Затрагиваемое ПО и версии
Debian GNU/Linux (7)Fedora (25)TeX LiveFedora (26)Debian GNU/Linux (8)
Способ устранения

Использование рекомендаций: https://lists.fedoraproject.org/archives/list/package-announce

Оценка CVSS
Балл7.5 — высокая опасность
Источники и патчи
http://www.debian.org/security/2017/dsa-3803http://www.openwall.com/lists/oss-security/2017/03/05/1http://www.securityfocus.com/bid/96593https://lists.fedoraproject.org/archives/list/package-announcelists.fedoraproject.org/message/B7CNJ4HKX7X6V7VMN3UCU7KPY6IX4XRB/https://lists.fedoraproject.org/archives/list/package-announcelists.fedoraproject.org/message/VL6PUKPWEXYIPIAZRIX5ZLQWCSALVLFP/https://scumjr.github.io/2016/11/28/pwning-coworkers-thanks-to-latex/
Проверьте безопасность своего сайта и почты → Полная проверка домена