Уязвимость функции io.popen() компонента luatex-core.lua систем компьютерной верстки LuaTeX, TeX Live и MiKTeX связана с отсутствием мер по очистке входных данных. Эксплуатация уязвимости позволяет нарушителю выполнить произвольные команды
Использование рекомендаций:
Для TeX Live:
https://tug.org/~mseven/luatex.html
https://tug.org/texlive/bugs.html
https://github.com/TeX-Live/texlive-source/releases/tag/build-svn66984
Для LuaTeX:
https://gitlab.lisn.upsaclay.fr/texlive/luatex/-/commit/b8b71a256664d17a8b6c81481a835813c61aa661
https://gitlab.lisn.upsaclay.fr/texlive/luatex/-/commit/5650c067de62cb7d4aaca44f30c8e9115c51bfc6
Для MiKTeX:
https://tug.org/~mseven/luatex.html
https://github.com/MiKTeX/miktex/releases/tag/23.5
Для Debian:
https://security-tracker.debian.org/tracker/CVE-2023-32700
Для ОС Astra Linux:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RLY43MIRONJSJVNBDFQHQ26MP3JIOB3H/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TF6YXUUFRGBIXIIIEV5SGBJXXT2SMUK5/
Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-32700
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения texlive-bin до версии 2018.20181218.49446-1+deb10u2
Для ОС Astra Linux Special Edition для архитектуры ARM 4.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47
Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2023:3661?lang=ru
| Балл | 7.2 — высокая опасность |