nous nous permettons de relayer une annonce de faille de sécurité sur
LuaTeX
: https://tug.org/~mseven/luatex.htmlTout document compilé avec les versions 1.04-1.16.1 de
LuaTeX
peut exécuter des commandes shell arbitraires, et cela même si l’option -shell-escape
est désactivée. Cela affecte les versions qui étaient incluses dans TeX Live 2017-2022 ainsi que dans la version originale de TeX Live 2023.Ce problème a été corrigé dans
LuaTeX
version 1.17.0 qui s’installe lors des mises à jour de TeX Live 2023.Les formats (
Plain TeX
, LaTeX
, etc.) ne sont pas en cause mais dès lors qu’ils sont utilisés avec le moteur LuaTeX
, alors la vulnérabilité est présente.Un fichier de test est présent sur le site du TUG ci-dessus. Si vous avez des questions ou des problèmes, n’hésitez pas à demander de l’aide sur le présent forum ou à écrire à
secretariat@gutenberg-asso.fr.
N’hésitez donc pas à mettre votre distribution à jour !
Bonne soirée,
--
Pour l'association GUTenberg, Denis Bitouzé