Bulletin d'alerte Debian

DLA-1168-1 graphicsmagick -- Mise à jour de sécurité pour LTS

Date du rapport :
10 novembre 2017
Paquets concernés :
graphicsmagick
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-16669.
Plus de précisions :

Une vulnérabilité de déni de service à distance a été découverte dans graphicsmagick, une collection d’outils de traitement d’images et leurs bibliothèques associées.

Un fichier contrefait pour l'occasion peut être utilisé pour produire un dépassement de tampon basé sur le tas et un plantage d'application en exploitant un défaut dans la fonction AcquireCacheNexus dans magick/pixel_cache.c.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.3.16-1.1+deb7u14.

Nous vous recommendons de mettre à niveau vos paquets graphicsmagick.

Remarque : le paquet graphicsmagick précédant introduisait par inadvertance une dépendance à liblcms2-2. Cette version de paquet réutilise liblcms1. Si votre système ne requiert pas autre part liblcms2-2, vous pouvez envisager de le supprimer en suivant la mise à niveau de graphicsmagick.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.