Bulletin d'alerte Debian

DLA-854-1 icoutils -- Mise à jour de sécurité pour LTS

Date du rapport :
13 mars 2017
Paquets concernés :
icoutils
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 854054, Bogue 854050.
Dans le dictionnaire CVE du Mitre : CVE-2017-6009, CVE-2017-6010, CVE-2017-6011.
Plus de précisions :

Icoutils est un ensemble de programmes ayant trait aux icônes et curseurs de MS Windows. Les ressources telles que les icônes et les curseurs peuvent être extraits de fichiers d’exécutables et de bibliothèques de MS Windows avec wrestool.

Trois vulnérabilités ont été découvertes dans ces outils.

  • CVE-2017-6009

    Un dépassement de tampon a été constaté dans wrestool.

  • CVE-2017-6010

    Un dépassement de tampon a été constaté dans la fonction extract_icons. Ce problème peut être déclenché en traitant un fichier ico corrompu et aboutit à un blocage d’icotool.

  • CVE-2017-6011

    Une lecture hors limites conduisant à un dépassement de tampon a été constaté dans icotool.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 0.29.1-5deb7u2.

Nous vous recommandons de mettre à jour vos paquets icoutils.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.