Bulletin d'alerte Debian

DSA-3746-1 graphicsmagick -- Mise à jour de sécurité

Date du rapport :
24 décembre 2016
Paquets concernés :
graphicsmagick
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 814732, Bogue 825800, Bogue 847055.
Dans le dictionnaire CVE du Mitre : CVE-2015-8808, CVE-2016-2317, CVE-2016-2318, CVE-2016-3714, CVE-2016-3715, CVE-2016-5118, CVE-2016-5240, CVE-2016-7800, CVE-2016-7996, CVE-2016-7997, CVE-2016-8682, CVE-2016-8683, CVE-2016-8684, CVE-2016-9830.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans GraphicsMagick, une collection d'outils de traitement d'images, qui peuvent provoquer des attaques par déni de service, la suppression de fichiers à distance et l'exécution de commandes à distance.

Cette mise à jour de sécurité retire la prise en charge complète du décodeur PLT/Gnuplot pour éviter des exploitations de shell basées sur Gnuplot-shell afin de corriger la vulnérabilité CVE-2016-3714.

Le préfixe magick TMP non documenté ne supprime plus le fichier d'argument après qu'il a été lu pour corriger la vulnérabilité CVE-2016-3715. Depuis que la fonctionnalité TMP a été implémentée à l'origine, GraphicsMagick a ajouté un sous-système de gestion de fichier temporaire qui assure que les fichiers temporaires sont supprimés, aussi cette fonctionnalité n'est pas nécessaire.

Retrait de la prise en charge de la lecture d'entrée à partir d'une commande shell, ou d'écriture de sortie vers une commande shell, en préfixant le nom de fichier spécifié (contenant la commande) avec un « | » pour corriger la vulnérabilité CVE-2016-5118.

  • CVE-2015-8808

    Gustavo Grieco a découvert une lecture hors limite dans l'analyse de fichiers GIF qui peut provoquer un déni de service.

  • CVE-2016-2317

    Gustavo Grieco a découvert un dépassement de tampon de pile et deux dépassements de tampon de tas lors du traitement d'images SVG qui peuvent provoquer un déni de service.

  • CVE-2016-2318

    Gustavo Grieco a découvert plusieurs erreurs de segmentation lors du traitement d'images SVG qui peuvent provoquer un déni de service.

  • CVE-2016-5240

    Gustavo Grieco a découvert un problème de boucle infinie provoquée par des arguments « stroke-dasharray » négatifs lors du traitement de fichier SVG qui peut provoquer un déni de service.

  • CVE-2016-7800

    Marco Grassi a découvert un dépassement d'entier non signé par le bas qui mène à un dépassement de tas lors de l'analyse de bloc de type 8BIM, souvent attaché aux fichiers JPG, qui peut provoquer un déni de service.

  • CVE-2016-7996

    Moshe Kaplan a découvert l'absence de vérification que la table de correspondance de couleur fournie ne contenait pas plus de 256 entrées dans le lecteur WPG, ce qui peut provoquer un déni de service.

  • CVE-2016-7997

    Moshe Kaplan a découvert qu'une assertion est passée à certains fichiers dans le lecteur WPG à cause d'une erreur logique qui peut provoquer un déni de service.

  • CVE-2016-8682

    Agostino Sarubbo de Gentoo a découvert un dépassement de lecture de tampon de pile lors de la lecture d'en-têtes SCT qui peut provoquer un déni de service.

  • CVE-2016-8683

    Agostino Sarubbo de Gentoo a découvert un échec d'allocation mémoire dans le codeur PCX qui peut provoquer un déni de service.

  • CVE-2016-8684

    Agostino Sarubbo de Gentoo a découvert un échec d'allocation mémoire dans le codeur SGI qui peut provoquer un déni de service.

  • CVE-2016-9830

    Agostino Sarubbo de Gentoo a découvert un échec d'allocation mémoire dans la fonction MagickRealloc() qui peut provoquer un déni de service.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.3.20-3+deb8u2.

Pour la distribution testing (Stretch), ces problèmes (à l'exception de CVE-2016-9830) ont été corrigés dans la version 1.3.25-5.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.3.25-6.

Nous vous recommandons de mettre à jour vos paquets graphicsmagick.