BDU:2023-03875
АО "НППКТ", Christian Schenk, Red Hat Inc., ООО «НЦПР», TeX Users Group, Сообщество свободного прогр Red Hat Enterprise Linux, MiKTeX, Astra Linux Special Edition, LuaTeX, Debian GNU/Linux, ОСОН ОСнова
2017-03-01
Уязвимость функции io.popen() компонента luatex-core.lua систем компьютерной верстки LuaTeX, TeX Live и MiKTeX связана с отсутствием мер по очистке входных данных. Эксплуатация уязвимости позволяет нарушителю выполнить произвольные команды
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для TeX Live: https://tug.org/~mseven/luatex.html https://tug.org/texlive/bugs.html https://github.com/TeX-Live/texlive-source/releases/tag/build-svn66984
Для LuaTeX: https://gitlab.lisn.upsaclay.fr/texlive/luatex/-/commit/b8b71a256664d17a8b6c81481a835813c61aa661 https://gitlab.lisn.upsaclay.fr/texlive/luatex/-/commit/5650c067de62cb7d4aaca44f30c8e9115c51bfc6
Для MiKTeX: https://tug.org/~mseven/luatex.html https://github.com/MiKTeX/miktex/releases/tag/23.5
Для Debian: https://security-tracker.debian.org/tracker/CVE-2023-32700
Для ОС Astra Linux: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RLY43MIRONJSJVNBDFQHQ26MP3JIOB3H/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TF6YXUUFRGBIXIIIEV5SGBJXXT2SMUK5/
Для продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2023-32700
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения texlive-bin до версии 2018.20181218.49446-1+deb10u2
Для ОС Astra Linux Special Edition для архитектуры ARM 4.7: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47
Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2023:3661?lang=ru