Bulletin d'alerte Debian

DLA-675-1 potrace -- Mise à jour de sécurité pour LTS

Date du rapport :
26 octobre 2016
Paquets concernés :
potrace
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-7437, CVE-2016-8694, CVE-2016-8695, CVE-2016-8696, CVE-2016-8697, CVE-2016-8698, CVE-2016-8699, CVE-2016-8700, CVE-2016-8701, CVE-2016-8702, CVE-2016-8703.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans potrace.

  • CVE-2013-7437

    Plusieurs dépassements d'entiers dans potrace 1.11 permettent à des attaquants distants de provoquer un déni de service (plantage) au moyen de trop grandes dimensions dans une image BMP qui déclenche un dépassement de tampon. Ce bogue a été signalé par Murray McAllister de l'équipe de sécurité de Red Hat.

  • CVE-2016-8694 / CVE-2016-8695 / CVE-2016-8696

    Plusieurs déréférencements de pointeur NULL dans bm_readbody_bmp. Ce bogue a été découvert par Agostino Sarubbo de Gentoo.

  • CVE-2016-8697

    Division par zéro dans bm_new. Ce bogue a été découvert par Agostino Sarubbo de Gentoo.

  • CVE-2016-8698 / CVE-2016-8699 / CVE-2016-8700 / CVE-2016-8701 / CVE-2016-8702 / CVE-2016-8703

    Plusieurs dépassements de tas dans bm_readbody_bmp. Ce bogue a été découvert par Agostino Sarubbo de Gentoo.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.10-1+deb7u1.

Nous vous recommandons de mettre à jour vos paquets potrace.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.