Bulletin d'alerte Debian

DLA-243-1 libraw -- Mise à jour de sécurité pour LTS

Date du rapport :
10 juin 2015
Paquets concernés :
libraw
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 786788.
Dans le dictionnaire CVE du Mitre : CVE-2015-3885.
Plus de précisions :

[Cette DLA remplace l'annonce erronée portant le numéro DLA 241-1]

  • CVE-2015-3885:

    Un débordement d'entier dans la fonction ljpeg_start des versions 7.00 et précédentes de dcraw permet à des attaquants distants de provoquer un déni de service (plantage) à l'aide d'une image contrefaite qui déclenche un dépassement de tampon, lié à la variable len.

Nous vous recommandons de mettre à jour vos paquets libraw.