LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2015 / Informations sur la sécurité -- DLA-242-1 imagemagick

Bulletin d'alerte Debian

DLA-242-1 imagemagick -- Mise à jour de sécurité pour LTS

Date du rapport :

11 juin 2015

Paquets concernés :

imagemagick

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2012-3437, CVE-2014-8354, CVE-2014-8355, CVE-2014-8562.

Plus de précisions :

Cette mise à jour corrige un grand nombre de problèmes de sécurité potentiels dûs à une validation insuffisante des données lors de l'analyse de différents formats d'entrée. La plupart de ces problèmes n'ont pas reçu de numéro de CVE.

Même si les implications de sécurité de tous ces problèmes ne sont pas toutes complètement connues, il est fortement recommandé d'effectuer la mise à jour.

La mise à jour corrige les vulnérabilités identifiées suivantes :

• CVE-2012-3437

  validation incorrecte de taille de tampon de PNG, menant à un déni de service lors de l'utilisation de fichiers PNG contrefaits pour l'occasion ;

• CVE-2014-8354

  accès mémoire hors limites dans le redimensionnement ;

• CVE-2014-8355

  dépassement de tampon dans le lecteur de PCX ;

• CVE-2014-8562

  dépassement de tampon dans les lecteurs de DCM.