Bulletin d'alerte Debian

DLA-273-1 tidy -- Mise à jour de sécurité pour LTS

Date du rapport :
18 juillet 2015
Paquets concernés :
tidy
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 792571.
Dans le dictionnaire CVE du Mitre : CVE-2015-5522, CVE-2015-5523.
Plus de précisions :

Fernando Muñoz a découvert un problème de sécurité dans tidy, un outil qui vérifie la syntaxe et reformate du HTML. Tidy ne traitait pas correctement certaines séquences de caractères, et un attaquant distant pourrait exploiter ce défaut pour provoquer un déni de service, ou éventuellement, exécuter du code arbitraire. Deux CVE différents ont été attribués à ce problème.

  • CVE-2015-5522

    Des documents HTML malformés pourraient conduire à un dépassement de tas.

  • CVE-2015-5523

    Des documents HTML malformés pourraient conduire à une allocation de mémoire de 4 Go.

Pour la distribution Squeeze, ce problème a été corrigé dans la version 20091223cvs-1+deb6u1 de tidy.

Nous vous recommandons de mettre à jour vos paquets tidy.