Bulletin d'alerte Debian

DLA-1302-1 leptonlib -- Mise à jour de sécurité pour LTS

Date du rapport :
7 mars 2018
Paquets concernés :
leptonlib
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 890548, Bogue 891932.
Dans le dictionnaire CVE du Mitre : CVE-2018-7186, CVE-2018-7440.
Plus de précisions :

Différents défauts ont été découverts dans leptonlib, une bibliothèque de traitement d’image.

  • CVE-2018-7186

    Leptonica ne limitait pas le nombre de caractères dans l’argument de format %s pour fscanf ou sscanf, ce qui rendait possible pour des attaquants distants de provoquer un déni de service (un dépassement de pile) ou éventuellement d’avoir un impact non précisé à l'aide d'une longue chaîne.

  • CVE-2018-7440

    La fonction gplotMakeOutput permettait une injection de commande à l'aide d'une approche dans l’argument rootname de gplot. Ce problème existe à cause d’un correctif incomplet pour CVE-2018-3836.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.69-3.1+deb7u2.

Nous vous recommandons de mettre à jour vos paquets leptonlib.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.