LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2016 / Informations sur la sécurité -- DLA-434-1 gtk+2.0

Bulletin d'alerte Debian

DLA-434-1 gtk+2.0 -- Mise à jour de sécurité pour LTS

Date du rapport :

27 février 2016

Paquets concernés :

gtk+2.0

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-4491, CVE-2015-7673, CVE-2015-7674.

Plus de précisions :

Gustavo Grieco a découvert différents problèmes de sécurité dans gdk-pixbuf de Gtk+2.0.

• CVE-2015-4491

  Dépassement de tas lors du traitement d’images BMP, permettant d’exécuter du code arbitraire à l’aide d’images malformées.

• CVE-2015-7673

  Dépassement de tas lors du traitement d’images TGA, permettant d’exécuter du code arbitraire ou un déni de service (plantage du processus) à l’aide d’images malformées.

• CVE-2015-7674

  Dépassement d’entier lors du traitement d’images GIF, permettant d’exécuter du code arbitraire ou un déni de service (plantage du processus) à l’aide d’images malformées.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 2.20.1-2+deb6u2 de gtk+2.0. Nous vous recommandons de mettre à jour vos paquets gtk+2.0.