LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2016 / Informations sur la sécurité -- DLA-683-1 graphicsmagick

Bulletin d'alerte Debian

DLA-683-1 graphicsmagick -- Mise à jour de sécurité pour LTS

Date du rapport :

26 octobre 2016

Paquets concernés :

graphicsmagick

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2016-7448, CVE-2016-7996, CVE-2016-7997, CVE-2016-8682, CVE-2016-8683, CVE-2016-8684.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le paquet graphicsmagick qui pourraient conduire à un déni de service au moyen d'échecs d'assertion et d'utilisation de processeur ou de mémoire. Certaines vulnérabilités peuvent aussi mener à l'exécution de code mais aucune exploitation n'est connue à ce jour.

• CVE-2016-7448

  Utah RLE : rejet de fichiers tronqués ou aberrants qui provoquent des allocations énormes de mémoire ou une consommation excessive de processeur

• CVE-2016-7996

  absence de vérification que la table de correspondance de couleur fournie ne contenait pas plus de 256 entrées avec pour conséquence un potentiel dépassement de tas

• CVE-2016-7997

  déni de service à l'aide d'un plantage dû à une assertion

• CVE-2016-8682

  dépassement de pile dans ReadSCTImage (sct.c)

• CVE-2016-8683

  échec d'allocation de mémoire dans ReadPCXImage (pcx.c)

• CVE-2016-8684

  échec d'allocation de mémoire dans MagickMalloc (memory.c)

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.3.16-1.1+deb7u5.

Nous vous recommandons de mettre à jour vos paquets graphicsmagick.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.