Bulletin d'alerte Debian

DSA-3762-1 tiff -- Mise à jour de sécurité

Date du rapport :
13 janvier 2017
Paquets concernés :
tiff
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-3622, CVE-2016-3623, CVE-2016-3624, CVE-2016-3945, CVE-2016-3990, CVE-2016-3991, CVE-2016-5314, CVE-2016-5315, CVE-2016-5316, CVE-2016-5317, CVE-2016-5320, CVE-2016-5321, CVE-2016-5322, CVE-2016-5323, CVE-2016-5652, CVE-2016-5875, CVE-2016-6223, CVE-2016-9273, CVE-2016-9297, CVE-2016-9448, CVE-2016-9453, CVE-2016-9532, CVE-2016-9533, CVE-2016-9534, CVE-2016-9536, CVE-2016-9537, CVE-2016-9538, CVE-2016-9540, CVE-2016-10092, CVE-2016-10093, CVE-2016-10094.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans la bibliothèque libtiff et les outils inclus tiff2rgba, rgb2ycbcr, tiffcp, tiffcrop, tiff2pdf et tiffsplit, qui peuvent avoir pour conséquence un déni de service, une divulgation de mémoire ou l'exécution de code arbitraire.

Il existe des vulnérabilités supplémentaires dans les outils bmp2tiff, gif2tiff, thumbnail et ras2tiff, mais comme elles ont été réglées par les développeurs de libtiff en supprimant tous les outils, il n'y a pas de correctif disponible, et ces outils ont aussi été supprimés du paquet tiff dans Debian stable. Cette modification avait déjà été réalisée auparavant dans Debian Stretch et aucune application fournie par Debian n'est connue pour dépendre de ces scripts. Si vous utilisez ces outils dans des configurations personnalisées, vous devriez envisager d'utiliser d'autres outils pour les conversions et la fabrication de miniatures.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 4.0.3-12.3+deb8u2.

Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 4.0.7-4.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.0.7-4.

Nous vous recommandons de mettre à jour vos paquets tiff.