Debian DLA-3507-1:pandoc - LTS 安全性更新

medium Nessus Plugin ID 178788

概要

遠端 Debian 主機上缺少一個或多個安全性更新。

說明

遠端 Debian 10 主機上安裝的多個套件受到 dla-3507 公告中提及的多個弱點影響。

- Pandoc 是用於從一種標記格式轉換成另一種標記格式的 Haskell 程式庫,也是使用此程式庫的命令行工具。1.13 至 3.1.4 版本的 Pandoc 容易受到任意檔案寫入弱點影響,使用 `--extract-media` 選項產生檔案或輸出 PDF 格式檔案時,攻擊者可藉由在輸入中提供特製的影像元素來觸發此弱點。視執行 pandoc 之處理程序的權限,攻擊者可利用此弱點在系統上建立或覆寫任意檔案。此弱點只會影響將未受信任的使用者輸入傳遞至 pandoc 並且允許使用 pandoc 來產生 PDF 檔案或與 `--extract-media` 選項搭配使用的系統。修正措施是在確認資源不在工作目錄之上,以及在擷取延伸模組之前,取消逸出百分比編碼。用於檢查路徑是否位於工作目錄之下的部分程式碼存在類似瑕疵,目前已經修正。請注意,`--sandbox` 選項僅影響讀取器和寫入器本身執行的 IO,不能封鎖此弱點。pandoc 3.1.4 中已修補此弱點。因應措施為稽核 pandoc 命令,並禁止 PDF 輸出和 `--extract-media` 選項。
(CVE-2023-35936)

- 3.1.6 之前的 Pandoc 允許任意檔案寫入:透過 --extract-media 選項產生檔案或輸出 PDF 格式檔案時,攻擊者可藉由在輸入中提供特製的影像元素來觸發此弱點。
視執行 pandoc 之處理程序的權限,攻擊者可利用此弱點建立或覆寫任意檔案。此弱點只會影響將未受信任的使用者輸入傳遞至 Pandoc 的系統,其允許攻擊者使用 Pandoc 來產生 PDF 檔案或是與 --extract-media 選項搭配使用。注意:產生此問題的原因是,針對 CVE-2023-35936 的修正不完整 (未正確考慮雙重編碼的路徑名稱)。(CVE-2023-38745)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級 pandoc 套件。

針對 Debian 10 Buster,已在 2.2.1-3+deb10u1 版本中修正這些問題。

另請參閱

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1041976

https://security-tracker.debian.org/tracker/source-package/pandoc

https://www.debian.org/lts/security/2023/dla-3507

https://security-tracker.debian.org/tracker/CVE-2023-35936

https://security-tracker.debian.org/tracker/CVE-2023-38745

https://packages.debian.org/source/buster/pandoc

Plugin 詳細資訊

嚴重性: Medium

ID: 178788

檔案名稱: debian_DLA-3507.nasl

版本: 1.4

類型: local

代理程式: unix

已發布: 2023/7/25

已更新: 2024/4/5

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.2

CVSS v2

風險因素: Medium

基本分數: 5.6

時間分數: 4.4

媒介: CVSS2#AV:L/AC:H/Au:N/C:N/I:C/A:C

CVSS 評分資料來源: CVE-2023-38745

CVSS v3

風險因素: Medium

基本分數: 6.3

時間分數: 5.7

媒介: CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:H

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:libghc-pandoc-doc, cpe:/o:debian:debian_linux:10.0, p-cpe:/a:debian:debian_linux:pandoc-data

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2023/7/25

弱點發布日期: 2023/7/5

參考資訊

CVE: CVE-2023-35936, CVE-2023-38745

IAVB: 2024-B-0030