Bulletin d'alerte Debian

DLA-755-1 dcmtk -- Mise à jour de sécurité pour LTS

Date du rapport :
20 décembre 2016
Paquets concernés :
dcmtk
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 848830.
Dans le dictionnaire CVE du Mitre : CVE-2015-8979.
Plus de précisions :

À différents endroits dans le code, une mauvaise longueur de structures de données de ACSE reçues sur le réseau peut provoquer des dépassements de tampon par le haut ou par le bas lors du traitement de ces structures de données. Des vérifications liées ont été ajoutées à divers endroits afin d'empêcher ce genre d'attaques potentielles. Merci à Kevin Basista pour le rapport.

Le bogue affectera en fait toutes les applications de serveur basées sur DCMTK qui acceptent des connexions réseau entrantes DICOM qui utilisent les versions dcmtk-3.6.0 et antérieures.

(D'après : http://zeroscience.mk/en/vulnerabilities/ZSL-2016-5384.php)

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 3.6.0-12+deb7u1.

Nous vous recommandons de mettre à jour vos paquets dcmtk.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.