Bulletin d'alerte Debian

DLA-450-1 gdk-pixbuf -- Mise à jour de sécurité pour LTS

Date du rapport :
30 avril 2016
Paquets concernés :
gdk-pixbuf
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-7552, CVE-2015-7674.
Plus de précisions :

Un dépassement de tas a été découvert dans gdk-pixbuf, une bibliothèque offrant des fonctions de chargement et d'enregistrement d'images, de mise à l'échelle et de combinaisons d'images en mémoire (« pixbufs »), qui permet à des attaquants distants de provoquer un déni de service ou éventuellement d'exécuter du code arbitraire à l'aide d'un fichier BMP contrefait.

Cette mise à jour corrige également un correctif incomplet pour le CVE-2015-7674.

  • CVE-2015-7552

    Un dépassement de tas dans la fonction gdk_pixbuf_flip dans gdk-pixbuf-scale.c dans gdk-pixbuf permet à des attaquants distants de provoquer un déni de service ou éventuellement d'exécuter du code arbitraire à l'aide d'un fichier BMP contrefait.

  • CVE-2015-7674

    Un dépassement d'entier dans la fonction pixops_scale_nearest dans pixops/pixops.c dans gdk-pixbuf antérieur à 2.32.1 permet à des attaquants distants de provoquer un déni de service (plantage de l'application) et éventuellement d'exécuter du code arbitraire à l'aide d'un fichier d'image GIF contrefait, ce qui déclenche un dépassement de tas.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 2.26.1-1+deb7u4.

Nous vous recommandons de mettre à jour vos paquets gdk-pixbuf.