Bulletin d'alerte Debian

DSA-3546-1 optipng -- Mise à jour de sécurité

Date du rapport :
7 avril 2016
Paquets concernés :
optipng
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-2191, CVE-2016-3981, CVE-2016-3982.
Plus de précisions :

Hans Jerry Illikainen a découvert que l'absence de vérification des entrées dans le code de traitement de fichiers BMP de l'optimiseur PNG optipng pouvait avoir comme conséquence un déni de service ou l'exécution de code arbitraire lors du traitement d'un fichier malformé.

Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 0.6.4-1+deb7u2. Cette mise à jour corrige également CVE-2015-7801, correction prévue à l'origine pour une version intermédiaire de Wheezy.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 0.7.5-1+deb8u1.

Pour la distribution unstable (Sid), ce problème sera corrigé prochainement.

Nous vous recommandons de mettre à jour vos paquets optipng.