Säkerhetsbulletin från Debian

DSA-3555-1 imlib2 -- säkerhetsuppdatering

Rapporterat den:
2016-04-23
Berörda paket:
imlib2
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 639414, Fel 785369, Fel 819818, Fel 820206, Fel 821732.
I Mitres CVE-förteckning: CVE-2011-5326, CVE-2014-9771, CVE-2016-3993, CVE-2016-3994, CVE-2016-4024.
Ytterligare information:

Flera sårbarheter har upptäckts i imlib2, ett bildmanipulationsbibliotek.

  • CVE-2011-5326

    Kevin Ryde upptäckte att försök att rita en 2x1 radies ellips resulterar i flyttalsundantag.

  • CVE-2014-9771

    Man har upptäckt att ett heltalsspill kunde leda till ogiltiga minnesläsningar och orimligt stora minnesallokeringar.

  • CVE-2016-3993

    Yuriy M. Kaminskiy upptäckte att ritning med hjälp av koordinater från en opålitligt källa kunde leda till minnesläsning utanför gränserna, vilket i sin tur kunde leda till applikationskrasch.

  • CVE-2016-3994

    Jacub Wilk upptäckte att en felaktigt formatterad bild kunde leda till en läsning utanför gränserna i GIF-laddaren, vilket kan resultera i en applikationskrasch eller informationsläckage.

  • CVE-2016-4024

    Yuriy M. Kaminskiy upptäckte ett heltalsspill som kunde leda till en otillräcklig heapallokering och minnesskrivning utanför gränserna.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 1.4.5-1+deb7u2.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 1.4.6-2+deb8u2.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.4.8-1.

Vi rekommenderar att ni uppgraderar era imlib2-paket.