SuSE обнаружила уязвимость в библиотеке kpathsea (libkpathsea), которая используется xdvi и dvips. Обе программы небезопасно вызывают функцию system(), что позволяет удаленному атакующему выполнять произвольные команды, используя специально сконструированные DVI файлы. 

Если dvips используется в фильтре печати, уязвимость позволяет локальному или удаленному атакующему выполнять произвольный код с привилегиями printer пользователя (обычно
lp).

Уязвимость обнаружена в tetex-lib 1.0.6-7.2 и 1.07.



Оставить мнение