Bulletin d'alerte Debian

DLA-221-1 tiff -- Mise à jour de sécurité pour LTS

Date du rapport :
16 mai 2015
Paquets concernés :
tiff
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 773987.
Dans le dictionnaire CVE du Mitre : CVE-2014-8128, CVE-2014-8129, CVE-2014-9330, CVE-2014-9655.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans la bibliothèque LibTIFF et les utilitaires pour le Tag Image File Format (TIFF). Elles pourraient conduire à un déni de service, la divulgation d'informations ou une augmentation de droits.

  • CVE-2014-8128

    William Robinet a découvert que des lectures hors limites sont déclenchées dans plusieurs des utilitaires de LibTIFF lors du traitement de fichiers TIFF contrefaits. D'autres applications utilisant LibTIFF sont aussi susceptibles d'être affectées de la même manière.

  • CVE-2014-8129

    William Robinet a découvert que des lectures et des écritures hors limites sont déclenchées dans tiff2pdf lors du traitement de fichiers TIFF contrefaits. D'autres applications utilisant LibTIFF sont aussi susceptibles d'être affectées de la même manière.

  • CVE-2014-9330

    Paris Zoumpouloglou a découvert que des lectures et des écritures hors limites sont déclenchées dans bmp2tiff lors du traitement de fichiers BMP contrefaits.

  • CVE-2014-9655

    Michal Zalewski a découvert que des lectures et des écritures hors limites sont déclenchées dans LibTIFF lors du traitement de fichiers TIFF contrefaits.

Pour la distribution oldoldstable (Squeeze), ces problèmes ont été corrigés dans la version 3.9.4-5+squeeze12.

Pour la distribution oldstable (Wheezy), ces problèmes seront corrigés prochainement.

La distribution stable (Jessie) n'était pas affectée pas ces problèmes car ils ont été corrigés avant la publication.