—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2009-1382 – Buffer Overflows in mimetex.cgi
Durch Angabe ueberlanger “picture”, “circle” oder “input” Tags in TeX
Dateien lassen sich in mimetex.cgi Buffer Overflows ausloesen. Ein
entfernter Angreifer kann diese Schachstelle dazu ausnutzen,
beliebigen Code mit den Rechten des Webservers auszufuehren.
CVE-2009-2459 – Schwachstellen im mimeTeX
In mimeTeX werden die TeX Direktiven \environ, \input und \counter
nicht korrekt verarbeitet, wodurch entfernte Angreifer an evtl.
vertrauliche Informationen gelangen koennen.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket mimetex
Fedora 10
Fedora 11
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2009-November/msg00165.html
https://www.redhat.com/archives/fedora-package-announce/2009-November/msg00084.html
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Klaus Moeller, DFN-CERT
– —
Dipl. Inform. Klaus Moeller (Incident Response Team)
Phone: +49 40 808077-555, Fax: +49 40 808077-556
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrase 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
– ——————————————————————————–
Fedora Update Notification
FEDORA-2009-10225
2009-10-03 17:54:05
– ——————————————————————————–
Name : mimetex
Product : Fedora 10
Version : 1.71
Release : 1.fc10
URL : http://www.forkosh.com/mimetex.html
Summary : Easily embed LaTeX math in web pages
Description :
MimeTeX lets you easily embed LaTeX math in your html pages. It parses a LaTeX
math expression and immediately emits the corresponding gif image, rather than
the usual TeX dvi. And mimeTeX is an entirely separate little program that
doesn’t use TeX or its fonts in any way.
– ——————————————————————————–
Update Information:
– – Fixes a buffer-overflow as detailed in #511049. – Updates to 1.7.
– ——————————————————————————–
ChangeLog:
* Thu Oct 1 2009 Jorge Torres
– – Update to 1.71
* Sat Jul 25 2009 Fedora Release Engineering
– – Rebuilt for https://fedoraproject.org/wiki/Fedora_12_Mass_Rebuild
* Wed Feb 25 2009 Fedora Release Engineering
– – Rebuilt for https://fedoraproject.org/wiki/Fedora_11_Mass_Rebuild
– ——————————————————————————–
References:
[ 1 ] Bug #511049 – CVE-2009-1382 CVE-2009-2459 mimeTeX: various flaws
https://bugzilla.redhat.com/show_bug.cgi?id=511049
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update mimetex’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)
iD8DBQFK8vCsk0kIxZMiiQ8RAhG4AKDK3L/nSyWFmDn/nEeOyUiX2fy4+wCeOa6j
JS7s5p+5RlQWrUVLjW6Xs+0=
=D1J+
—–END PGP SIGNATURE—–
