Bulletin d'alerte Debian

DLA-563-1 libgd2 -- Mise à jour de sécurité pour LTS

Date du rapport :
26 juillet 2016
Paquets concernés :
libgd2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-6161.
Plus de précisions :

Une lecture globale hors limites lors de l'encodage de gif à partir d'une entrée mal formée a été découverte dans ce logiciel.

Quand des entrées non valables sont données, la balise EOF pourrait être fournie avant que ce soit réellement la fin du fichier. La logique de gif considère, une fois qu'elle a vu la balise EOF, qu'il n'y a plus de données, elle laisse ainsi éventuellement un index cur_bits négatif. Aussi, quand d'autres données sont reçues, il se produit un dépassement par le bas de la table de masques.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 2.0.36~rc1~dfsg-6.1+deb7u5.

Nous vous recommandons de mettre à jour vos paquets libgd2.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS