Bonjour à tous,

nous nous permettons de relayer une annonce de faille de sécurité sur LuaTeX.

Tout document compilé avec les versions 1.04-1.16.1 de LuaTeX peut exécuter des commandes shell arbitraires, et cela même si l’option -shell-escape est désactivée. Cela affecte les versions qui étaient incluses dans TeX Live 2017-2022 ainsi que dans la version originale de TeX Live 2023.

Ce problème a été corrigé dans LuaTeX version 1.17.0 qui s’installe lors des mises à jour de TeX Live 2023.

Les formats (Plain TeX, LaTeX, etc.) ne sont pas en cause mais dès lors qu’ils sont utilisés avec le moteur LuaTeX, alors la vulnérabilité est présente.

Un fichier de test est présent sur le site du TUG ci-dessus. Si vous avez des questions ou des problèmes, n’hésitez pas à demander de l’aide sur le présent forum ou à écrire à secretariat@gutenberg-asso.fr.

N’hésitez donc pas à mettre votre distribution à jour !

Bonne soirée,
--
Pour l'association GUTenberg, Denis Bitouzé