Bulletin d'alerte Debian

DLA-1310-1 exempi -- Mise à jour de sécurité pour LTS

Date du rapport :
21 mars 2018
Paquets concernés :
exempi
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-18233, CVE-2017-18234, CVE-2017-18236, CVE-2017-18238, CVE-2018-7728, CVE-2018-7730.
Plus de précisions :

Divers problèmes ont été découverts dans exempi, une bibliothèque pour analyser des métadonnées XMP qui pourraient causer un déni de service ou avoir un autre impact non spécifié à l’aide de fichiers contrefaits.

  • CVE-2017-18233

    Un dépassement d’entier dans la classe Chunk dans RIFF.cpp permet à des attaquants distants de provoquer un déni de service (boucle infinie) à l’aide de données XMP contrefaites dans un fichier .avi.

  • CVE-2017-18234

    Un problème a été découvert qui permet à des attaquants distants de provoquer un déni de service (memcpy non valable résultant dans une utilisation de mémoire après libération) ou éventuellement avoir un impact non précisé à l'aide d'un fichier .pdf contenant des données JPEG.

  • CVE-2017-18236

    La fonction ASF_Support::ReadHeaderObject dans ASF_Support.cpp permet à des attaquants distants de provoquer un déni de service (boucle infinie) à l'aide d'un fichier .asf contrefait.

  • CVE-2017-18238

    La fonction TradQT_Manager::ParseCachedBoxes dans QuickTime_Support.cpp permet à des attaquants distants de provoquer un déni de service (boucle infinie) à l’aide de données XMP contrefaites dans un fichier .qt.

  • CVE-2018-7728

    TIFF_Handler.cpp gère incorrectement un cas de longueur nulle, conduisant à une lecture hors limites de tampon basé sur le tas dans la fonction MD5Update() dans MD5.cpp.

  • CVE-2018-7730

    Un certain cas de longueur 0xffffffff est mal géré dans PSIR_FileWriter.cpp, conduisant à une lecture hors limites de tampon basé sur le tas dans la fonction PSD_MetaHandler::CacheFileData().

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 2.2.0-1+deb7u1.

Nous vous recommandons de mettre à jour vos paquets exempi.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.