|
UPD-2003-3
1 サマリ
2 詳細
OSA-2002-23 において dvips の任意のコマンドを実行されてしまう脆弱性が発見されアラートを発行しました。これは dvi フォーマットに含まれる PostScript のコマンド実行機能そのものに危険があるものと考えることができます。dvips にはオプション -R によってこのようなコマンド実行を停止する secure mode がありますが、ARMA 2.x ではこちらをデフォルト動作とするように改めました。旧版と同様の動作をさせる場合は -R0 オプションをご利用ください。
3 対処方法
なお、先のバージョンには tetex-bin と tetex-base パッケージとの不整合問題があり、いったん TeX 関連パッケージをすべて抜いてしまうと TeX の設定ファイルが正しく生成されないため、再インストールできなくなってしまうという問題がありました。今回の改善版ではバージョンそのものも後退しています。
したがってこちらのパッケージをインストールする場合は apt-get でバージョン指定をするか、あるいは以下のようにいったん TeX 関連パッケージをアンインストールしてからインストールするようにしてください。
|
# apt-get remove --purge libkpathsea3 tetex-base
|
# apt-get clean
|
# apt-get update
|
# apt-get install ptex-bin dvipsk-ja-ogl xdvik-ja dvipdfm
|
|
|
また TeX 関連パッケージの依存関係に問題が発生してしまった場合も上記のように再インストールしていただけますようお願いいたします。
| |
|
|