Bulletin d'alerte Debian

DLA-693-1 tiff -- Mise à jour de sécurité pour LTS

Date du rapport :
2 novembre 2016
Paquets concernés :
tiff
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 842043, Bogue 842046, Bogue 842361, Bogue 842270.
Dans le dictionnaire CVE du Mitre : CVE-2014-8128, CVE-2015-7554, CVE-2015-8668, CVE-2016-3186, CVE-2016-3619, CVE-2016-3620, CVE-2016-3621, CVE-2016-3631, CVE-2016-3632, CVE-2016-3633, CVE-2016-3634, CVE-2016-5102, CVE-2016-5318, CVE-2016-5319, CVE-2016-5652, CVE-2016-6223, CVE-2016-8331.
Plus de précisions :

La bibliothèque libtiff et les utilitaires associés fournis dans libtiff-tools sont vulnérables à de nombreux problèmes de sécurité.

Cette mise à jour retire de nombreux utilitaires qui ne sont plus pris en charge par l'amont et qui sont affectés par de multiples problèmes de corruption de mémoire :

Cette mise à jour corrige aussi les problèmes suivants :

  • CVE-2014-8128 / CVE-2015-7554, CVE-2016-5318

    Plusieurs dépassements de tampon déclenchés par TIFFGetField() sur des étiquettes inconnues. En l'absence de correctif de l'amont, la liste des étiquettes connues a été étendue pour couvrir toutes celles qui sont en usage dans les utilitaires de TIFF.

  • CVE-2016-5652

    Dépassement de tas dans tiff2pdf.

  • CVE-2016-6223

    Fuite d'information dans libtiff/tif_read.c. Correction de lecture hors limites dans des fichiers mappés en mémoire dans TIFFReadRawStrip1() et TIFFReadRawTile1() quand StripOffset est au-delà de la valeur maximale de tmsize_t (problème signalé par Mathias Svensson).

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 4.0.2-6+deb7u7.

Nous vous recommandons de mettre à jour vos paquets tiff.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.