Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-04366

Опубликовано: 14 мар. 2024
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость компонента Socket Library систем компьютерной верстки LuaTeX, TeX Live и MiKTeX существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, выполнить произвольные команды

Вендор

ООО «РусБИТех-Астра»
TeX Users Group
Christian Schenk
LuaTeX Team

Наименование ПО

Astra Linux Common Edition
TeX Live
MiKTeX
LuaTeX

Версия ПО

1.6 «Смоленск» (Astra Linux Common Edition)
от 2009 до 2023 (TeX Live)
от 2.9.0 до 23.5 (MiKTeX)
от 0.27.0 до 1.17.0 (LuaTeX)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Common Edition 1.6 «Смоленск»

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://gitlab.lisn.upsaclay.fr/texlive/luatex/-/blob/b266ef076c96b382cd23a4c93204e247bb98626a/source/texk/web2c/luatexdir/ChangeLog#L1-L3
https://gitlab.lisn.upsaclay.fr/texlive/luatex/-/tags/1.17.0
https://tug.org/pipermail/tex-live/2023-May/049188.html
Для ОС Astra Linux:
обновить пакет texlive-bin до 2016.20160513.41080.dfsg-2+deb9u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 23%
0.00078
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-32668

CVSS3: 5.5
ubuntu
больше 2 лет назад

LuaTeX before 1.17.0 allows a document (compiled with the default settings) to make arbitrary network requests. This occurs because full access to the socket library is permitted by default, as stated in the documentation. This also affects TeX Live before 2023 r66984 and MiKTeX before 23.5.

nvd логотип

CVE-2023-32668

CVSS3: 5.5
nvd
больше 2 лет назад

LuaTeX before 1.17.0 allows a document (compiled with the default settings) to make arbitrary network requests. This occurs because full access to the socket library is permitted by default, as stated in the documentation. This also affects TeX Live before 2023 r66984 and MiKTeX before 23.5.

debian логотип

CVE-2023-32668

CVSS3: 5.5
debian
больше 2 лет назад

LuaTeX before 1.17.0 allows a document (compiled with the default sett ...

github логотип

GHSA-hm67-jh95-48xh

CVSS3: 9.8
github
больше 2 лет назад

LuaTeX before 1.17.0 enables the socket library by default.

EPSS

Процентиль: 23%
0.00078
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2