Debian DLA-3507-1：pandoc - LTS 安全更新

medium Nessus 插件 ID 178788

语言：

简介

远程 Debian 主机上缺少一个或多个与安全性相关的更新。

描述

远程 Debian 10 主机上安装的程序包受到 dla-3507 公告中提及的多个漏洞影响。

- Pandoc 是用于将标记格式从一种标记格式转换为另一种的 Haskell 库，也是使用此库的命令行工具。1.13 至 3.1.4 版本的 Pandoc 容易受到任意文件写入漏洞影响，当使用 `--extract-media` 选项生成文件或输出为 PDF 格式时，通过在输入中提供特别构建的图像元素，可触发该漏洞。根据运行 pandoc 之进程的权限，此漏洞允许攻击者创建或覆盖系统中的任意文件。该漏洞仅影响将不受信任的用户输入传递到 pandoc 并且允许使用 pandoc 生成 PDF 或与 `--extract-media` 选项一起使用的系统。修复措施是在确认资源不在工作目录之上以及提取扩展之前取消转义百分比编码。有些用于检查路径是否位于工作目录下的代码也存在类似缺陷，目前该缺陷已经修复。请注意，`--sandbox` 选项只影响读取器和写入器本身执行的 IO，其不会阻止此漏洞。pandoc 3.1.4 中已修补该漏洞。变通方案为审核 pandoc 命令，并禁止 PDF 输出和 `--extract-media` 选项。
(CVE-2023-35936)

- 低于 3.1.6 版的 Pandoc 允许任意文件写入：通过 --extract-media 选项生成文件或输出为 PDF 格式时，在输入中提供构建的图像元素可触发此漏洞。
根据运行 Pandoc 之进程的权限，此漏洞允许攻击者创建或覆盖任意文件。该漏洞仅影响将不受信任的用户输入传递到 Pandoc 并且允许使用 Pandoc 生成 PDF 或与 `--extract-media` 选项一起使用的系统。注意：导致此问题的原因是，针对 CVE-2023-35936 的修复不完整（未正确考虑双重编码的路径名称）。(CVE-2023-38745)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。