Bulletin d'alerte Debian

DLA-1305-1 ming -- Mise à jour de sécurité pour LTS

Date du rapport :
11 mars 2018
Paquets concernés :
ming
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2018-5251, CVE-2018-5294, CVE-2018-6315, CVE-2018-6359.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Ming.

  • CVE-2018-5251

    Vulnérabilité d’erreur d’entier signé (décalage à gauche d’une valeur négative) dans la fonction readSBits (util/read.c). Des attaquants distants pourraient exploiter cette vulnérabilité pour provoquer un déni de service à l'aide d'un fichier SWF contrefait.

  • CVE-2018-5294

    Vulnérabilité de dépassement d’entier (causé par à un décalage à gauche hors intervalle) dans la fonction readUInt32 (util/read.c). Des attaquants distants pourraient exploiter cette vulnérabilité pour provoquer un déni de service à l'aide d'un fichier SWF contrefait.

  • CVE-2018-6315

    Dépassement d’entier et lecture hors limites résultante dans la fonction outputSWF_TEXT_RECORD (util/outputscript.c). Des attaquants distants pourraient exploiter cette vulnérabilité pour provoquer un déni de service ou un autre impact non précisé à l'aide d'un fichier SWF contrefait.

  • CVE-2018-6359

    Vulnérabilité d’utilisation après libération dans la fonction decompileIF (util/decompile.c). Des attaquants distants pourraient exploiter cette vulnérabilité pour provoquer un déni de service ou un autre impact non précisé à l'aide d'un fichier SWF contrefait.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 0.4.4-1.1+deb7u7.

Nous vous recommandons de mettre à jour vos paquets ming.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.