Sujet : Annonce : faille de sécurité sur LuaTeX
De : dbitouze (at) *nospam* wanadoo.fr (Denis Bitouzé)
Groupes : fr.comp.text.texDate : 22. May 2023, 22:14:44
Autres entêtes
Organisation : A noiseless patient Spider
Message-ID : <87jzx015u3.fsf@example.com>
User-Agent : Gnus/5.13 (Gnus v5.13) Emacs/28.2 (gnu/linux)
Bonjour à toutes et tous,
nous nous permettons de relayer une annonce de faille de sécurité sur
LuaTeX :
┌────
│
https://tug.org/~mseven/luatex.html └────
Tout document compilé avec les versions 1.04-1.16.1 de LuaTeX peut
exécuter des commandes shell arbitraires, et cela même si
l’option -shell-escape est désactivée. Cela affecte les versions qui
étaient incluses dans TeX Live 2017-2022 ainsi que dans la version
originale de TeX Live 2023
Ce problème a été corrigé dans LuaTeX version 1.17.0 qui s’installe lors
des mises à jour de TeX Live 2023.
Les formats (Plain TeX, LaTeX, etc.) ne sont pas en cause mais dès lors
qu’ils sont utilisés avec le moteur LuaTeX, alors la vulnérabilité est
présente.
Un fichier de test est présent sur le site du TUG ci-dessus. Si vous avez
des questions ou des problèmes, n’hésitez pas à demander de l’aide sur le
présent forum ou à écrire à
secretariat@gutenberg-asso.fr.N’hésitez donc pas à mettre votre distribution à jour !
Bonne soirée,
-- Pour l'association GUTenberg, Denis Bitouzé
Annonce : faille de sécurité sur LuaTeX