Bulletin d'alerte Debian

DSA-3555-1 imlib2 -- Mise à jour de sécurité

Date du rapport :
23 avril 2016
Paquets concernés :
imlib2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 639414, Bogue 785369, Bogue 819818, Bogue 820206, Bogue 821732.
Dans le dictionnaire CVE du Mitre : CVE-2011-5326, CVE-2014-9771, CVE-2016-3993, CVE-2016-3994, CVE-2016-4024.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans imlib2, une bibliothèque de manipulation d'image.

  • CVE-2011-5326

    Kevin Ryde a découvert qu'une tentative pour tracer une ellipse de rayon 2x1 a pour conséquence une exception de virgule flottante.

  • CVE-2014-9771

    Un dépassement d'entier pourrait conduire à des lectures de mémoire incorrectes et à des allocations de mémoire de taille déraisonnable.

  • CVE-2016-3993

    Yuriy M. Kaminskiy a découvert qu'un tracé utilisant des coordonnées d'une source non fiable pourrait conduire à une lecture de mémoire hors limite qui à son tour pourrait aboutir à un plantage de l'application.

  • CVE-2016-3994

    Jakub Wilk a découvert qu'une image malformée pourrait conduire à une lecture hors limite dans le chargeur de GIF qui peut avoir pour conséquence un plantage de l'application ou une fuite d'informations.

  • CVE-2016-4024

    Yuriy M. Kaminskiy a découvert un dépassement d'entier qui pourrait conduire à une allocation de mémoire de tas insuffisante et à une écriture de mémoire hors limite.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 1.4.5-1+deb7u2.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.4.6-2+deb8u2.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.4.8-1.

Nous vous recommandons de mettre à jour vos paquets imlib2.