PT-2024-13321 · Tex Live+2 · Tex Live+2

Duck

+1

·

Publicado

2024-01-26

·

Atualizado

2024-08-19

·

CVE-2023-46048

CVSS v3.1

6.2

Média

VetorAV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Tex Live versão 944e257
Descrição
O problema está relacionado a uma desreferência de ponteiro NULL no arquivo writet1.c, localizado em texk/web2c/pdftexdir. Isso ocorre ao lidar com um arquivo cmr10.pfb malicioso. Observa-se que a classificação desse problema é contestada, com alguns considerando-o um problema de usabilidade, em vez de uma vulnerabilidade de segurança.
Recomendações
Para a versão 944e257 do Tex Live, como solução temporária, considere restringir o uso da função writet1.c até que um patch esteja disponível. Além disso, evite usar arquivos criados especificamente, como cmr10.pfb, para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

Correção

NULL Pointer Dereference

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-476

Identificadores relacionados

CVE-2023-46048
OESA-2024-1997
OESA-2024-1998
OESA-2024-1999
OESA-2024-2000
OESA-2024-2001
OPENSUSE-SU-2024_1310-1
SUSE-SU-2024:1296-1
SUSE-SU-2024:1310-1
SUSE-SU-2024_1296-1
SUSE-SU-2024_1310-1

Produtos afetados

Debian
Suse
Tex Live