info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Annonce : faille de sécurité sur LuaTeX
7 views
Skip to first unread message
Denis Bitouzé
May 22, 2023, 4:15:54 PM5/22/23
to
Bonjour à toutes et tous,
nous nous permettons de relayer une annonce de faille de sécurité sur
LuaTeX :
┌────
│ https://tug.org/~mseven/luatex.html
└────
Tout document compilé avec les versions 1.04-1.16.1 de LuaTeX peut
exécuter des commandes shell arbitraires, et cela même si
l’option -shell-escape est désactivée. Cela affecte les versions qui
étaient incluses dans TeX Live 2017-2022 ainsi que dans la version
originale de TeX Live 2023
Ce problème a été corrigé dans LuaTeX version 1.17.0 qui s’installe lors
des mises à jour de TeX Live 2023.
Les formats (Plain TeX, LaTeX, etc.) ne sont pas en cause mais dès lors
qu’ils sont utilisés avec le moteur LuaTeX, alors la vulnérabilité est
présente.
Un fichier de test est présent sur le site du TUG ci-dessus. Si vous avez
des questions ou des problèmes, n’hésitez pas à demander de l’aide sur le
présent forum ou à écrire à secre...@gutenberg-asso.fr.
N’hésitez donc pas à mettre votre distribution à jour !
Bonne soirée,
--
Pour l'association GUTenberg, Denis Bitouzé
nous nous permettons de relayer une annonce de faille de sécurité sur
LuaTeX :
┌────
│ https://tug.org/~mseven/luatex.html
└────
Tout document compilé avec les versions 1.04-1.16.1 de LuaTeX peut
exécuter des commandes shell arbitraires, et cela même si
l’option -shell-escape est désactivée. Cela affecte les versions qui
étaient incluses dans TeX Live 2017-2022 ainsi que dans la version
originale de TeX Live 2023
Ce problème a été corrigé dans LuaTeX version 1.17.0 qui s’installe lors
des mises à jour de TeX Live 2023.
Les formats (Plain TeX, LaTeX, etc.) ne sont pas en cause mais dès lors
qu’ils sont utilisés avec le moteur LuaTeX, alors la vulnérabilité est
présente.
Un fichier de test est présent sur le site du TUG ci-dessus. Si vous avez
des questions ou des problèmes, n’hésitez pas à demander de l’aide sur le
présent forum ou à écrire à secre...@gutenberg-asso.fr.
N’hésitez donc pas à mettre votre distribution à jour !
Bonne soirée,
--
Pour l'association GUTenberg, Denis Bitouzé
0 new messages