Bulletin d'alerte Debian

DSA-2388-1 t1lib -- Plusieurs vulnérabilités

Date du rapport :
14 janvier 2012
Paquets concernés :
t1lib
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 652996.
Dans le dictionnaire CVE du Mitre : CVE-2010-2642, CVE-2011-0433, CVE-2011-0764, CVE-2011-1552, CVE-2011-1553, CVE-2011-1554.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans t1lib, une bibliothèque de rastérisation des polices de Type 1, certaines d'entre elles pourraient permettre l'exécution de code à l'aide de l'ouverture de fichiers intégrant de mauvaises polices.

  • CVE-2010-2642

    Un dépassement de tampon de tas dans l'analyseur de mesures de police AFM permet éventuellement l'exécution de code arbitraire.

  • CVE-2011-0433

    Un autre dépassement de tampon de tas dans l'analyseur de mesures de police AFM permet éventuellement l'exécution de code arbitraire.

  • CVE-2011-0764

    Un déréférencement de pointeur incorrecte permet l'exécution de code arbitraire en utilisant des polices Type 1 contrefaites.

  • CVE-2011-1552

    Un autre déréférencement de pointeur incorrecte a pour conséquence un plantage d'application, déclenché par l'utilisation de polices Type 1 contrefaites.

  • CVE-2011-1553

    Une vulnérabilité d'utilisation de mémoire après libération conduit à un plantage d'application, déclenché par l'utilisation de polices Type 1 contrefaites.

  • CVE-2011-1554

    Une erreur due à un décalage d'entier conduit à une lecture de mémoire incorrecte et un plantage d'application, déclenché par l'utilisation de polices Type 1 contrefaites.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 5.1.2-3+lenny1.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 5.1.2-3+squeeze1.

Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 5.1.2-3.4.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 5.1.2-3.4.

Nous vous recommandons de mettre à jour vos paquets t1lib.