Risque
Exécution de code arbitraire.
Systèmes affectés
GNU enscript version 1.6.4 et versions antérieures.Description
GNU enscript est un logiciel libre qui permet de transformer des fichiers du format ASCII au format Postscript.Plusieurs vulnérabilités dans GNU enscript permettent à un utilisateur mal intentionné de faire exécuter du code arbitraire sur la plate-forme vulnérable.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site Internet de GNU enscript :
http://people.ssh.com/mtr/genscript
- Bulletin de sécurité Debian DSA-654 du 21 janvier 2005 :
http://www.debian.org/security/2005/dsa-654
- Bulletin de sécurité RedHat RHSA-2005:039 du 01 février 2005 :
http://rhn.redhat.com/errata/RHSA-2005-039.html
- Bulletin de sécurité RedHat RHSA-2005:040 du 15 février 2005 :
http://rhn.redhat.com/errata/RHSA-2005-040.html
- Bulletin de sécurité Gentoo GLSA 200502-03 du 02 février 2005 :
http://www.gentoo.org/security/en/glsa/glsa-200502-03.xml
- Bulletin de sécurité Mandrake MDKSA-2005:033 du 10 février 2005 :
http://www.mandrakesoft.com/security/advisories?name=MDKSA-2005:033
- Bulletin de sécurité OpenBSD pour enscript du 11 février 2005 :
http://www.vuxml.org/openbsd/
- Bulletin de sécurité FreeBSD pour enscript-a4, enscript-letter et enscript-letterdj du 11 février 2005 :
http://www.vuxml.org/freebsd/
- Bulletin de sécurité SGI 20050202-01-U du 09 février 2005 :
ftp://patches.sgi.com/support/free/security/advisories/20050202-01-U.asc
- Référence CVE CAN-2004-1184 :
https://www.cve.org/CVERecord?id=CAN-2004-1184
- Référence CVE CAN-2004-1185 :
https://www.cve.org/CVERecord?id=CAN-2004-1185
- Référence CVE CAN-2004-1186 :
https://www.cve.org/CVERecord?id=CAN-2004-1186
