Bulletin d'alerte Debian

DLA-1116-1 poppler -- Mise à jour de sécurité pour LTS

Date du rapport :
27 septembre 2017
Paquets concernés :
poppler
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 876086, Bogue 876385, Bogue 876079.
Dans le dictionnaire CVE du Mitre : CVE-2017-14517, CVE-2017-14519, CVE-2017-14617.
Plus de précisions :

Poppler, une bibliothèque de rendu de PDF, était affectée par plusieurs bogues de déni de service (plantage d'application), de déréférencement de pointeur NULL et de corruption de mémoire.

  • CVE-2017-14517

    Déréférencement de pointeur NULL dans la fonction XRef::parseEntry() dans XRef.cc

  • CVE-2017-14519

    Corruption de mémoire dans l’appel à Object::streamGetChar pouvant conduire à un déni de service ou un autre impact non précisé.

  • CVE-2017-14617

    Dépassement potentiel de tampon dans la classe ImageStream dans Stream.cc pouvant conduire à un déni de service ou à un autre impact non précisé.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 0.18.4-6+deb7u3.

Nous vous recommandons de mettre à jour vos paquets poppler.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.