v0.1.11 — Security Bugfix
Security patch for two DoS issues in ratex-parser. Upgrade from ≤ v0.1.10 if you parse untrusted LaTeX.
| Advisory | Severity | Trigger | Impact |
|---|---|---|---|
| GHSA-4hgp-59h5-gvrj | High | \verb with a multibyte UTF-8 delimiter (e.g. \verbéxé) |
Parser panics → whole process aborts |
| GHSA-4w5h-hx6r-28q7 | Medium | Deep nesting ({…}, \left, \sqrt{, ^{, etc.) |
Stack overflow → whole process aborts |
Affected: All RaTeX distributions that parse LaTeX — Rust crates, CLI, npm/WASM, JVM, Android, iOS, Flutter, React Native.
Not affected: Trusted local LaTeX with normal nesting and ASCII \verb delimiters.
Reported by @nikkoenggaliano.
ratex-parser 的两个 DoS 安全修复。若解析 不可信 LaTeX,请升级到 > v0.1.10* 的版本。
| 公告 | 等级 | 触发条件 | 影响 |
|---|---|---|---|
| GHSA-4hgp-59h5-gvrj | 高危 | \verb 使用 多字节 UTF-8 定界符(如 \verbéxé) |
解析器 panic → 整个进程 abort |
| GHSA-4w5h-hx6r-28q7 | 中危 | 极深嵌套({…}、\left、\sqrt{、^{ 等) |
栈溢出 → 整个进程 abort |
影响范围: 所有通过 RaTeX 解析 LaTeX 的分发形态 — Rust crate、CLI、npm/WASM、JVM、Android、iOS、Flutter、React Native。
不受影响: 可信 LaTeX,嵌套深度正常,\verb 使用 ASCII 定界符。
感谢 @nikkoenggaliano 报告。