Bulletin d'alerte Debian

DLA-758-1 libgd2 -- Mise à jour de sécurité pour LTS

Date du rapport :
22 décembre 2016
Paquets concernés :
libgd2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 849038.
Dans le dictionnaire CVE du Mitre : CVE-2016-9933.
Plus de précisions :

Une couleur non valable provoque un épuisement de pile par un appel récursif à la fonction gdImageFillToBorder quand l'image utilisée est truecolor.

La vulnérabilité peut être exploitée à travers php5 qui utilise la bibliothèque libgd2 du système au moyen de la fonction imagefilltoborder() de PHP pour provoquer un déni de service (dépassement de pile) et éventuellement avoir un autre impact non précisé.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 2.0.36~rc1~dfsg-6.1+deb7u7.

Nous vous recommandons de mettre à jour vos paquets libgd2.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.