Bulletin d'alerte Debian

DLA-804-1 libgd2 -- Mise à jour de sécurité pour LTS

Date du rapport :
29 janvier 2017
Paquets concernés :
libgd2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-9317, CVE-2016-10167, CVE-2016-10168.
Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans la bibliothèque graphique GD. Ils pourraient conduire à l'exécution de code arbitraire ou provoquer un plantage de l'application.

  • CVE-2016-9317

    Dépassement d'entier signé dans gd_io.c

  • CVE-2016-10167

    Traitement incorrect de données d’image manquantes pouvant provoquer un plantage

  • CVE-2016-10168

    GD2 stocke le nombre de morceaux horizontaux et verticaux sous forme de mots (c'est-à-dire, 2 octets signés). Ces valeurs sont multipliées et assignées à un entier lors de la lecture de l’image, ce qui peut provoquer un dépassement d'entier.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 2.0.36~rc1~dfsg-6.1+deb7u8.

Nous vous recommandons de mettre à jour vos paquets libgd2.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.