Bulletin d'alerte Debian

DLA-505-1 libpdfbox-java -- Mise à jour de sécurité pour LTS

Date du rapport :
8 juin 2016
Paquets concernés :
libpdfbox-java
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-2175.
Plus de précisions :

PDFBox d'Apache n'initialise pas correctement l'analyseur XML. Cela permet à des attaquants en fonction du contexte de conduire des attaques d'entité externe XML (XXE) à l'aide d'un fichier PDF contrefait. Cela pourrait conduire à la divulgation de données confidentielles, à un déni de service, à une contrefaçon de requête côté serveur, à un balayage de port du point de vue de la machine où l'analyseur est installé et à d'autres impacts sur le système.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1:1.7.0+dfsg-4+deb7u1.

Nous vous recommandons de mettre à jour vos paquets libpdfbox-java.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.