Bulletin d'alerte Debian

DLA-942-1 jbig2dec -- Mise à jour de sécurité pour LTS

Date du rapport :
15 mai 2017
Paquets concernés :
jbig2dec
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-7885, CVE-2017-7975, CVE-2017-7976.
Plus de précisions :
  • CVE-2017-7885

    jbig2dec 0.13 d’Artifex possède une lecture hors limites de tampon basé sur le tas conduisant à un déni de service (plantage d'application) ou une divulgation d’informations sensibles de la mémoire du processus, due à un dépassement d'entier dans la fonction jbig2_decode_symbol_dict dans jbig2_symbol_dict.c dans libjbig2dec.a lors d’une opération sur un fichier .jb2 contrefait.

  • CVE-2017-7975

    jbig2dec 0.13 d’Artifex, tel qu’utilisé dans Ghostscript, permet une écriture hors limites due à un dépassement d'entier dans la fonction jbig2_build_huffman_table dans jbig2_huffman.c lors d’opérations sur un fichier JBIG2 contrefait, conduisant à un déni de service (plantage d'application) ou éventuellement une exécution de code arbitraire.

  • CVE-2017-7976

    jbig2dec 0.13 d’Artifex permet une écriture et lecture hors limites due à un dépassement d'entier dans la fonction jbig2_image_compose dans jbig2_image.c lors d’opérations sur un fichier .jb2 contrefait, conduisant à un déni de service (plantage d'application) ou une divulgation d’informations sensibles de la mémoire du processus.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 0.13-4~deb7u2.

Nous vous recommandons de mettre à jour vos paquets jbig2dec.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.