Risque
- Exécution de code arbitraire
Systèmes affectés
GNU enscript version 1.6.4 et versions antérieures.
Description
GNU enscript est un logiciel libre qui permet de transformer des
fichiers du format ASCII au format Postscript.
Plusieurs vulnérabilités dans GNU enscript permettent à un utilisateur
mal intentionné de faire exécuter du code arbitraire sur la plate-forme
vulnérable.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Debian DSA-654 du 21 janvier 2005 http://www.debian.org/security/2005/dsa-654
- Bulletin de sécurité FreeBSD pour enscript-a4, enscript-letter et enscript-letterdj du 11 février 2005 : http://www.vuxml.org/freebsd/
- Bulletin de sécurité Gentoo GLSA 200502-03 du 02 février 2005 : http://www.gentoo.org/security/en/glsa/glsa-200502-03.xml
- Bulletin de sécurité Mandrake MDKSA-2005:033 du 10 février 2005 : http://www.mandrakesoft.com/security/advisories?name=MDKSA-2005:033
- Bulletin de sécurité OpenBSD pour enscript du 11 février 2005 : http://www.vuxml.org/openbsd/
- Bulletin de sécurité RedHat RHSA-2005:039 du 01 février 2005 : http://rhn.redhat.com/errata/RHSA-2005-039.html
- Bulletin de sécurité RedHat RHSA-2005:040 du 15 février 2005 : http://rhn.redhat.com/errata/RHSA-2005-040.html
- Bulletin de sécurité SGI 20050202-01-U du 09 février 2005 : ftp://patches.sgi.com/support/free/security/advisories/20050202-01-U.asc
- Site Internet de GNU enscript : http://people.ssh.com/mtr/genscript
