CERTA-2002-AVI-276

Vulnerability from certfr_avis - Published: - Updated:

Une vulnérabilité de la commande dvips permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.

Description

dvips est un filtre d'impression utilisé pour imprimer les documents DVI.

Pour gérer les polices de caractères, la commande dvips fait un appel à la fonction system() de manière non sécurisée.

Cette vulnérabilité peut être exploitée par un utilisateur mal intentionné pour exécuter du code arbitraire à distance avec les droits de l'utilisateur lp.

Solution

Consultez votre éditeur pour connaître la disponibilité des correctifs.

Commande dvips contenue dans le paquetage tetex.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eCommande \u003cSPAN class=\"textit\"\u003edvips\u003c/SPAN\u003e contenue dans le  paquetage \u003cSPAN class=\"textit\"\u003etetex\u003c/SPAN\u003e.\u003c/P\u003e",
  "content": "## Description\n\ndvips est un filtre d\u0027impression utilis\u00e9 pour imprimer les documents\nDVI.\n\nPour g\u00e9rer les polices de caract\u00e8res, la commande dvips fait un appel \u00e0\nla fonction system() de mani\u00e8re non s\u00e9curis\u00e9e.  \n\nCette vuln\u00e9rabilit\u00e9 peut \u00eatre exploit\u00e9e par un utilisateur mal\nintentionn\u00e9 pour ex\u00e9cuter du code arbitraire \u00e0 distance avec les droits\nde l\u0027utilisateur lp.\n\n## Solution\n\nConsultez votre \u00e9diteur pour conna\u00eetre la disponibilit\u00e9 des correctifs.\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2002-AVI-276",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2002-12-20T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 de la commande \u003cspan class=\"textit\"\u003edvips\u003c/span\u003e\npermet \u00e0 un utilisateur mal intentionn\u00e9 d\u0027ex\u00e9cuter du code arbitraire \u00e0\ndistance.\n",
  "title": "Vuln\u00e9rabilit\u00e9 de la commande dvips",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis de s\u00e9curit\u00e9 Debian DSA 207-1",
      "url": "http://www.debian.org/security/"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.