Bulletin d'alerte Debian

DLA-927-1 fop -- Mise à jour de sécurité pour LTS

Date du rapport :
29 avril 2017
Paquets concernés :
fop
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 860567.
Dans le dictionnaire CVE du Mitre : CVE-2017-5661.
Plus de précisions :

Dans Apache FOP avant la version 2.2, des fichiers existant sur le système de fichiers du serveur qui utilise FOP, peuvent être divulgués à des utilisateurs arbitraires envoyant des fichiers SVG formés de manière malveillante. Les types de fichier pouvant être montrés dépendent du contexte utilisateur dans lequel l’application exploitable est exécutée. Si l’utilisateur est superutilisateur, une compromission totale du serveur — incluant des fichiers confidentiels ou sensibles — serait possible. XXE peut aussi être utilisé pour attaquer la disponibilité du serveur à l’aide d’un déni de service car les références à l’intérieur du document XML peuvent trivialement déclencher une attaque par amplification.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1:1.0.dfsg2-6+deb7u1.

Nous vous recommandons de mettre à jour vos paquets fop.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.