Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
18/01/2016
El fallo se encuentra en la función FontManager._get_nix_font_path del fichero formatters/img.py.
En dicha función no se escapa adecuadamente el nombre de fuente introducido por el usuario, lo que permitía a un atacante poder ejecutar comandos arbitrarios si introducía comandos en el nombre de la fuente a cargar.
Sistemas Afectados:Pygments versiones 1.2.2 hasta 2.0.2.
Referencias:CVE-2015-8557
Solución:Se han publicado versiones actualizadas de este software en las distribuciones de linux más comunes. También se puede descargar la versión actualizada desde su web oficial.
Notas:DSA-3445-1 pygments -- debian security update