Bulletin d'alerte Debian

DLA-1159-1 graphicsmagick -- Mise à jour de sécurité pour LTS

Date du rapport :
3 novembre 2017
Paquets concernés :
graphicsmagick
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-16352, CVE-2017-16353.
Plus de précisions :

Maor Shwartz, Jeremy Heng et Terry Chia ont découvert deux vulnérabilités de sécurité dans Graphicsmagick, une collection d’outils de traitement d'image.

  • CVE-2017-16352

    Graphicsmagick était vulnérable à un dépassement de tampon basé sur le tas trouvé dans la caractéristique Display visual image directory de la fonction DescribeImage() du fichier magick/describe.c. Une façon de faire apparaitre la vulnérabilité est d’exécuter la commande identify sur un fichier contrefait pour l'occasion au format MIFF avec l’option verbose.

  • CVE-2017-16353

    Graphicsmagick était vulnérable à une divulgation d'informations de mémoire trouvée dans la fonction DescribeImage du fichier magick/describe.c, dû à une lecture hors limites de tampon basé sur le tas. La portion de code contenant la vulnérabilité est chargée d’afficher l’information de profil IPTC contenue dans l’image. Cette vulnérabilité peut être provoquée à l’aide d’un fichier MIFF spécialement contrefait. Un déréférencement de tampon hors limites survient dû à ce que certains incréments ne sont pas vérifiés.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.3.16-1.1+deb7u13.

Nous vous recommandons de mettre à jour vos paquets graphicsmagick.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.