Bulletin d'alerte Debian

DLA-789-1 icoutils -- Mise à jour de sécurité pour LTS

Date du rapport :
17 janvier 2017
Paquets concernés :
icoutils
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 850017.
Dans le dictionnaire CVE du Mitre : CVE-2017-5208, CVE-2017-5331, CVE-2017-5332, CVE-2017-5333.
Plus de précisions :

Brève introduction

  • CVE-2017-5208

    Choongwoo Han a signalé [0] un plantage exploitable dans wrestool de icoutils. Les outils de ligne de commande sont utilisés, par exemple, dans l'analyse de métadonnées de KDE.

  • CVE-2017-5331

    Il s'est avéré que la correction pour CVE-2017-5208 n'était pas suffisante et qu'une correction supplémentaire était nécessaire.

  • CVE-2017-5332

    Mais il existe toujours des combinaisons d'arguments qui font que le test est positif même si le bloc mémoire identifié par le décalage de size n'est pas entièrement dans la mémoire total_size.

  • CVE-2017-5333

    La vérification de la mémoire n'était pas assez stricte sur les systèmes 64 bits.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 0.29.1-5deb7u1.

Nous vous recommandons de mettre à jour vos paquets icoutils.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.