Bulletin d'alerte Debian

DLA-517-1 imagemagick -- Mise à jour de sécurité pour LTS

Date du rapport :
17 juin 2016
Paquets concernés :
imagemagick
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-4563.
Plus de précisions :

Le code ne vérifiait pas qu'il n'y avait pas de dépassement d'entier avant d'essayer de redimensionner un tampon. Un fichier contrefait pour l'occasion pourrait avoir pour conséquence l'utilisation de mémoire au-delà de la fin du tampon alloué.

Le CVE de sécurité pour ce problème (CVE-2016-4563) de même que les CVE-2016-4562 et CVE-2016-4564 étaient basés sur une annonce de sécurité qui ne sera pas rendue publique. Ce correctif de sécurité a été généré en se basant uniquement sur les informations superficielles de modification de code qui sont publiques dans GitHub. Pour davantage d'information sur cela, consultez : http://seclists.org/oss-sec/2016/q2/476

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 8:6.7.7.10-5+deb7u7.

Nous vous recommandons de mettre à jour vos paquets imagemagick.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.