Bulletin d'alerte Debian

DSA-3655-1 mupdf -- Mise à jour de sécurité

Date du rapport :
26 août 2016
Paquets concernés :
mupdf
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 832031, Bogue 833417.
Dans le dictionnaire CVE du Mitre : CVE-2016-6265, CVE-2016-6525.
Plus de précisions :

Deux vulnérabilités ont été découvertes dans MuPDF, un lecteur léger de PDF. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2016-6265

    Marco Grassi a découvert une vulnérabilité d'utilisation de mémoire après libération dans MuPDF. Un attaquant peut tirer avantage de ce défaut pour provoquer un plantage de l'application (déni de service), ou éventuellement pour exécuter du code arbitraire avec les droits de l'utilisateur exécutant MuPDF, lors du traitement d'un fichier PDF contrefait pour l'occasion.

  • CVE-2016-6525

    Yu Hong et Zheng Jihong ont découvert une vulnérabilité de dépassement de zone mémoire dans la fonction pdf_load_mesh_params, permettant à un attaquant de provoquer un plantage de l'application (déni de service), ou éventuellement d'exécuter du code arbitraire avec les droits de l'utilisateur exécutant MuPDF, lors du traitement d'un fichier PDF contrefait pour l'occasion.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.5-1+deb8u1.

Nous vous recommandons de mettre à jour vos paquets mupdf.