Annonce : faille de sécurité sur LuaTeX

Tout ce qui concerne le langage TeX/LaTeX et ses variantes. Ce langage est utilisable sur le forum via les balises tex.
[participation réservée aux utilisateurs inscrits]
Règles du forum
Merci de soigner la rédaction de vos messages et de consulter ce sujet avant de poster. Pensez également à utiliser la fonction recherche du forum.
Denis Bitouzé
Utilisateur confirmé
Utilisateur confirmé
Messages : 97
Inscription : vendredi 27 octobre 2006, 20:27
Localisation : Dunkerque
Contact :

Annonce : faille de sécurité sur LuaTeX

Message non lu par Denis Bitouzé »

Bonjour à tous,

nous nous permettons de relayer une annonce de faille de sécurité sur LuaTeX : https://tug.org/~mseven/luatex.html

Tout document compilé avec les versions 1.04-1.16.1 de LuaTeX peut exécuter des commandes shell arbitraires, et cela même si l’option -shell-escape est désactivée. Cela affecte les versions qui étaient incluses dans TeX Live 2017-2022 ainsi que dans la version originale de TeX Live 2023.

Ce problème a été corrigé dans LuaTeX version 1.17.0 qui s’installe lors des mises à jour de TeX Live 2023.

Les formats (Plain TeX, LaTeX, etc.) ne sont pas en cause mais dès lors qu’ils sont utilisés avec le moteur LuaTeX, alors la vulnérabilité est présente.

Un fichier de test est présent sur le site du TUG ci-dessus. Si vous avez des questions ou des problèmes, n’hésitez pas à demander de l’aide sur le présent forum ou à écrire à secretariat@gutenberg-asso.fr.

N’hésitez donc pas à mettre votre distribution à jour !

Bonne soirée,
--
Pour l'association GUTenberg, Denis Bitouzé
Denis
Répondre