Bulletin d'alerte Debian

DSA-1684-1 lcms -- Vulnérabilités multiples

Date du rapport:

10 décembre 2008

Paquets concernés:

lcms

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans le dictionnaire CVE du Mitre : CVE-2008-5316, CVE-2008-5317.

Pour plus d'information:

Deux vulnérabilités ont été trouvées dans lcms, une bibliothèque et un ensemble d'outils en ligne de commande pour la gestion de la couleur des images. Le projet « Common Vulnerabilities and Exposures » (CVE) a identifié les problèmes suivants :

CVE-2008-5316
Une contrainte inadaptée des limites de tampons à taille fixe permet à un attaquant de provoquer un dépassement de tampon sur la pile, pouvant potentiellement inclure l'exécution de code arbitraire si une image spécialement créée dans ce but était ouverte.
CVS-2008-5317
Une erreur sur le signe d'un entier lors de la lecture du gamma d'une image pourrait permettre à un attaquant de provoquer l'allocation d'un tampon trop petit pour les données de cette image. Cela aurait des conséquences inconnues, pouvant potentiellement inclure l'exécution de code arbitraire si une image spécialement créée dans ce but était ouverte.

Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 1.15-1.1+etch1.

Pour la prochaine distribution stable (Lenny) et pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 1.17.dfsg-1.

Nous vous recommandons de mettre à jour vos paquets lcm.

Corrigé dans:

Debian GNU/Linux 4.0 (etch)

Source :: http://security.debian.org/pool/updates/main/l/lcms/lcms_1.15-1.1+etch1.diff.gz; http://security.debian.org/pool/updates/main/l/lcms/lcms_1.15.orig.tar.gz; http://security.debian.org/pool/updates/main/l/lcms/lcms_1.15-1.1+etch1.dsc
Alpha:: http://security.debian.org/pool/updates/main/l/lcms/liblcms1-dev_1.15-1.1+etch1_alpha.deb; http://security.debian.org/pool/updates/main/l/lcms/liblcms1_1.15-1.1+etch1_alpha.deb; http://security.debian.org/pool/updates/main/l/lcms/liblcms-utils_1.15-1.1+etch1_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/l/lcms/liblcms-utils_1.15-1.1+etch1_amd64.deb; http://security.debian.org/pool/updates/main/l/lcms/liblcms1_1.15-1.1+etch1_amd64.deb; http://security.debian.org/pool/updates/main/l/lcms/liblcms1-dev_1.15-1.1+etch1_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/l/lcms/liblcms1_1.15-1.1+etch1_arm.deb; http://security.debian.org/pool/updates/main/l/lcms/liblcms1-dev_1.15-1.1+etch1_arm.deb; http://security.debian.org/pool/updates/main/l/lcms/liblcms-utils_1.15-1.1+etch1_arm.deb
HP Precision:: http://security.debian.org/pool/updates/main/l/lcms/liblcms1-dev_1.15-1.1+etch1_hppa.deb; http://security.debian.org/pool/updates/main/l/lcms/liblcms-utils_1.15-1.1+etch1_hppa.deb; http://security.debian.org/pool/updates/main/l/lcms/liblcms1_1.15-1.1+etch1_hppa.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/l/lcms/liblcms1_1.15-1.1+etch1_i386.deb; http://security.debian.org/pool/updates/main/l/lcms/liblcms-utils_1.15-1.1+etch1_i386.deb; http://security.debian.org/pool/updates/main/l/lcms/liblcms1-dev_1.15-1.1+etch1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/l/lcms/liblcms1-dev_1.15-1.1+etch1_ia64.deb; http://security.debian.org/pool/updates/main/l/lcms/liblcms1_1.15-1.1+etch1_ia64.deb; http://security.debian.org/pool/updates/main/l/lcms/liblcms-utils_1.15-1.1+etch1_ia64.deb
Big-endian MIPS:: http://security.debian.org/pool/updates/main/l/lcms/liblcms-utils_1.15-1.1+etch1_mips.deb; http://security.debian.org/pool/updates/main/l/lcms/liblcms1-dev_1.15-1.1+etch1_mips.deb; http://security.debian.org/pool/updates/main/l/lcms/liblcms1_1.15-1.1+etch1_mips.deb
Little-endian MIPS:: http://security.debian.org/pool/updates/main/l/lcms/liblcms1_1.15-1.1+etch1_mipsel.deb; http://security.debian.org/pool/updates/main/l/lcms/liblcms1-dev_1.15-1.1+etch1_mipsel.deb; http://security.debian.org/pool/updates/main/l/lcms/liblcms-utils_1.15-1.1+etch1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/l/lcms/liblcms1-dev_1.15-1.1+etch1_powerpc.deb; http://security.debian.org/pool/updates/main/l/lcms/liblcms-utils_1.15-1.1+etch1_powerpc.deb; http://security.debian.org/pool/updates/main/l/lcms/liblcms1_1.15-1.1+etch1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/l/lcms/liblcms1-dev_1.15-1.1+etch1_s390.deb; http://security.debian.org/pool/updates/main/l/lcms/liblcms-utils_1.15-1.1+etch1_s390.deb; http://security.debian.org/pool/updates/main/l/lcms/liblcms1_1.15-1.1+etch1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/l/lcms/liblcms1-dev_1.15-1.1+etch1_sparc.deb; http://security.debian.org/pool/updates/main/l/lcms/liblcms-utils_1.15-1.1+etch1_sparc.deb; http://security.debian.org/pool/updates/main/l/lcms/liblcms1_1.15-1.1+etch1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.