Bulletin d'alerte Debian

DLA-664-1 libxrender -- Mise à jour de sécurité pour LTS

Date du rapport :
18 octobre 2016
Paquets concernés :
libxrender
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 840443.
Dans le dictionnaire CVE du Mitre : CVE-2016-7949, CVE-2016-7950.
Plus de précisions :

Tobias Stoeckmann du projet OpenBSD a découvert un certain nombre de problèmes dans la manière dont diverses bibliothèques de client X géraient les réponses qu'elles recevaient des serveurs. Une validation insuffisante des données issues du serveur X dans libxrandr pourrait provoquer des écritures mémoire hors limites dans la bibliothèque libXrender, permettant à l'utilisateur une élévation de ses privilèges.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1:0.9.7-1+deb7u3.

Nous vous recommandons de mettre à jour vos paquets libxrender.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.