CERTA-2002-AVI-276
Vulnerability from certfr_avis

Une vulnérabilité de la commande dvips permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.

Description

dvips est un filtre d'impression utilisé pour imprimer les documents DVI.

Pour gérer les polices de caractères, la commande dvips fait un appel à la fonction system() de manière non sécurisée.

Cette vulnérabilité peut être exploitée par un utilisateur mal intentionné pour exécuter du code arbitraire à distance avec les droits de l'utilisateur lp.

Solution

Consultez votre éditeur pour connaître la disponibilité des correctifs.

Commande dvips contenue dans le paquetage tetex.

Impacted products
Vendor Product Description
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eCommande \u003cSPAN class=\"textit\"\u003edvips\u003c/SPAN\u003e contenue dans le  paquetage \u003cSPAN class=\"textit\"\u003etetex\u003c/SPAN\u003e.\u003c/P\u003e",
  "content": "## Description\n\ndvips est un filtre d\u0027impression utilis\u00e9 pour imprimer les documents\nDVI.\n\nPour g\u00e9rer les polices de caract\u00e8res, la commande dvips fait un appel \u00e0\nla fonction system() de mani\u00e8re non s\u00e9curis\u00e9e.  \n\nCette vuln\u00e9rabilit\u00e9 peut \u00eatre exploit\u00e9e par un utilisateur mal\nintentionn\u00e9 pour ex\u00e9cuter du code arbitraire \u00e0 distance avec les droits\nde l\u0027utilisateur lp.\n\n## Solution\n\nConsultez votre \u00e9diteur pour conna\u00eetre la disponibilit\u00e9 des correctifs.\n",
  "cves": [],
  "initial_release_date": "2002-12-20T00:00:00",
  "last_revision_date": "2002-12-20T00:00:00",
  "links": [],
  "reference": "CERTA-2002-AVI-276",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2002-12-20T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 de la commande \u003cspan class=\"textit\"\u003edvips\u003c/span\u003e\npermet \u00e0 un utilisateur mal intentionn\u00e9 d\u0027ex\u00e9cuter du code arbitraire \u00e0\ndistance.\n",
  "title": "Vuln\u00e9rabilit\u00e9 de la commande dvips",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis de s\u00e9curit\u00e9 Debian DSA 207-1",
      "url": "http://www.debian.org/security/"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.