DebianDLA-3507-1:pandoc-LTS安全更新

介质奈苏斯插件ID 178788

语言 :

简表

远程 Debian主机缺一个或多个安全相关更新

描述性

远程 Debian 10主机安装包受多脆弱度影响,dla-3507咨询中引用

Pandoc是一个Haskell库,用于从加注格式转换为另一个格式,并使用此库命令行工具Pandoc从1.13版开始并前于3.1.4版容易任意文件写脆弱度,这可以通过输入时使用`Extrap-media'选项或输出df格式生成文件时提供特制图像元素触发弱点允许攻击者创建或覆盖系统任意文件,视运行pandoc过程特权而定仅影响系统将不信任用户输入转至pandoc并允许pandoc用于制作PDF或带`Extrap-media'选项修复前解码百分数验证资源不高于工作目录,后提取扩展某些代码检验路径下方工作目录有类似缺陷并已被固定注意`andbox'选项只影响阅读器和写作器本身IO,不阻塞这一漏洞漏洞补丁Pandoc3.1.4作为一种变通方法,审核pandoc命令并禁止PDF输出和`Extract-media'选项
(CVE-2023-35936)

Pandoc前3.1.6允许任意文件写入:通过-Extract-media选项或输出PDF格式生成文件时,输入中提供刻画图像元素可触发
允许攻击者创建或覆盖任意文件,视Pandoc进程权限而定仅影响系统传递不受信任用户输入Pandoc并允许Pandoc用于制作PDF或带-Extrap-media选项注释:之所以存在这一问题,是因为CVE-2023-35936不完全修复(无法正确计算双编码路径名)。(CVE-2023-38745)

注意Nessus没有测试这些问题,而是只依赖应用自报版号