Debians sikkerhedsbulletin

DSA-3555-1 imlib2 -- sikkerhedsopdatering

Rapporteret den:
23. apr 2016
Berørte pakker:
imlib2
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 639414, Fejl 785369, Fejl 819818, Fejl 820206, Fejl 821732.
I Mitres CVE-ordbog: CVE-2011-5326, CVE-2014-9771, CVE-2016-3993, CVE-2016-3994, CVE-2016-4024.
Yderligere oplysninger:

Flere sårbarheder blev opdaget i imlib2, et bibliotek til billedbehandling.

  • CVE-2011-5326

    Kevin Ryde opdagede at forsøg på at tegne en 2x1 radiellipse, medførte en flydende komma-exception.

  • CVE-2014-9771

    Man opdagede at et heltalsoverløb kunne føre til ugyldige hukommelseslæsninger og urimeligt store hukommelsesallokeringer.

  • CVE-2016-3993

    Yuriy M. Kaminskiy opdagede at tegning ved hjælp af koordinater fra en kilde, der ikke er tillid til, kunne føre til hukommelseslæsning uden for grænserne, hvilket kunne ende med at applikationen gik ned.

  • CVE-2016-3994

    Jakub Wilk opdagede at et misdannet billede kunne føre til en læsning uden for grænserne i GIF-loaderen, hvilket kunne ende med at applikationen gik ned eller der blev lækket oplysninger.

  • CVE-2016-4024

    Yuriy M. Kaminskiy opdagede et heltalsoverløb, som kunne føre til utilstrækkelig heapallokering og hukommelseslæsning uden for grænserne.

I den gamle stabile distribution (wheezy), er disse problemer rettet i version 1.4.5-1+deb7u2.

I den stabile distribution (jessie), er disse problemer rettet i version 1.4.6-2+deb8u2.

I den ustabile distribution (sid), er disse problemer rettet i version 1.4.8-1.

Vi anbefaler at du opgraderer dine imlib2-pakker.