В evince, простой программе для просмотра многостраничных документов, было обнаружено несколько уязвимостей.
Тобиас Мюллер сообщил, что код для экспорта в DVI в evince может содержать уязвимость, приводящую к введению команд с помощью специально сформированных имён файлов.
Энди Нгуен сообщил, что функции tiff_document_render() и tiff_document_get_thumbnail() в движке документов в формате TIFF не обрабатывают ошибки функции TIFFReadRGBAImageOriented(), что приводит к раскрытию неинициализированной памяти при обработке файлов с TIFF-изображениями.
В движке tiff было обнаружено переполнение буфера, которое может приводить к отказу в обслуживании или выполнению произвольного кода при открытии специально сформированного PDF-файла.
В предыдущем стабильном выпуске (stretch) эти проблемы были исправлены в версии 3.22.1-3+deb9u2.
В стабильном выпуске (buster) эти проблемы были исправлены в версии 3.30.2-3+deb10u1. Стабильный выпуск подвержен только уязвимости CVE-2019-11459.
Рекомендуется обновить пакеты evince.
С подробным статусом поддержки безопасности evince можно ознакомиться на соответствующей странице отслеживания безопасности по адресу \ https://security-tracker.debian.org/tracker/evince