CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

18/01/2016

Fallada de seguretat en Pygments

L’error de seguretat detectat pot permetre la injecció de codi arbitrari per qualsevol usuari maliciós.

Risc: Crític

La fallada es troba en la funció FontManager._get_nix_font_path del fitxer formatters/img.py.

En la funció esmentada no s’escapa adequadament el nom de font introduït per l’usuari, la qual cosa permetia a un atacant poder executar comandaments arbitraris si introduïa comandaments en el nom de la font a carregar.

Sistemes Afectats:

Pygments versions 1.2.2 fins a 2.0.2.

Referències:

CVE-2015-8557

Solució:

S’han publicat versions actualitzades d’aquest programari en les distribucions de linux més comunes. També es pot descarregar la versió actualitzada des del seu web oficial.

Notes:

DSA-3445-1 pygments -- debian security update

Font: Debian

CSIRT-CV