LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2017 / Informations sur la sécurité -- DLA-926-1 batik

Bulletin d'alerte Debian

DLA-926-1 batik -- Mise à jour de sécurité pour LTS

Date du rapport :

29 avril 2017

Paquets concernés :

batik

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 860566.
Dans le dictionnaire CVE du Mitre : CVE-2017-5662.

Plus de précisions :

Dans Apache Batik avant la version 1.9, des fichiers existant sur le système de fichiers du serveur qui utilise batik, peuvent être divulgués à des utilisateurs arbitraires envoyant des fichiers SVG formés de manière malveillante. Les types de fichier pouvant être montrés dépendent du contexte d’utilisateur dans lequel l’application exploitable est exécutée. Si l’utilisateur est superutilisateur, une compromission totale du serveur — incluant des fichiers confidentiels ou sensibles — serait possible. XXE peut aussi être utilisé pour attaquer la disponibilité du serveur à l’aide d’un déni de service car les références à l’intérieur du document XML peuvent trivialement déclencher une attaque par amplification.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.7+dfsg-3+deb7u2.

Nous vous recommandons de mettre à jour vos paquets batik.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.