2019-1684: Atril, Evince: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-08-13 18:08)

Neues Advisory

Version 2 (2020-02-17 11:04)

Für Debian 9 Stretch (oldstable) und Debian 10 Buster (stable) steht ein Sicherheitsupdate zur Behebung der Schwachstellen in 'evince' bereit.

Betroffene Software

Office

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann mehrere Schwachstellen in Atril und Evince ausnutzen, um beliebigen Programmcode mit Benutzerrechten zur Ausführung bringen, einen Denial-of-Service (DoS)-Angriff durchzuführen oder Informationen auszuspähen.

Für Debian 8 Jessie (LTS) stehen Sicherheitsupdates für 'atril auf Version 1.8.1+dfsg1-4+deb8u2 und für 'evince' auf Version 3.14.1-2+deb8u3 bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2017-1000159

Schwachstelle in Evince ermöglicht Ausführung von Programmcode mit Benutzerrechten

CVE-2019-1010006

Schwachstelle in Evince ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-11459

Schwachstelle in Evince ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.