ГлавнаяБаза уязвимостей БДУ → BDU:2024-04366
10критическая

BDU:2024-04366 (CVE-2023-32668)

Уязвимость компонента Socket Library систем компьютерной верстки LuaTeX, TeX Live и MiKTeX, позволяющая нарушителю выполнить произвольные команды
Опубликовано: 2024-06-04
Описание

Уязвимость компонента Socket Library систем компьютерной верстки LuaTeX, TeX Live и MiKTeX существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, выполнить произвольные команды

Затрагиваемое ПО и версии
Astra Linux Common Edition (1.6 «Смоленск»)TeX Live (от 2009 до 2023)MiKTeX (от 2.9.0 до 23.5)LuaTeX (от 0.27.0 до 1.17.0)
Способ устранения

Использование рекомендаций:
https://gitlab.lisn.upsaclay.fr/texlive/luatex/-/blob/b266ef076c96b382cd23a4c93204e247bb98626a/source/texk/web2c/luatexdir/ChangeLog#L1-L3
https://gitlab.lisn.upsaclay.fr/texlive/luatex/-/tags/1.17.0
https://tug.org/pipermail/tex-live/2023-May/049188.html

Для ОС Astra Linux:
обновить пакет texlive-bin до 2016.20160513.41080.dfsg-2+deb9u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.tenable.com/plugins/nessus/192119https://packetstormsecurity.com/files/cve/CVE-2023-32668https://vuldb.com/ru/?id.228779https://gitlab.lisn.upsaclay.fr/texlive/luatex/-/blob/b266ef076c96b382cd23a4c93204e247bb98626a/source/texk/web2c/luatexdir/ChangeLog#L1-L3https://gitlab.lisn.upsaclay.fr/texlive/luatex/-/tags/1.17.0https://tug.org/pipermail/tex-live/2023-May/049188.htmlhttps://tug.org/~mseven/luatex.html#luasockethttps://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена