Bulletin d'alerte Debian

DLA-1322-1 graphicsmagick -- Mise à jour de sécurité pour LTS

Date du rapport :
28 mars 2018
Paquets concernés :
graphicsmagick
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-18219, CVE-2017-18220, CVE-2017-18229, CVE-2017-18230, CVE-2017-18231, CVE-2018-9018.
Plus de précisions :

Divers problèmes de sécurité ont été découverts dans Graphicsmagick, une collection d’outils de traitement d’images.

  • CVE-2017-18219

    Une vulnérabilité d’échec d’allocation a été découverte dans la fonction ReadOnePNGImage dans coders/png.c. Elle permet à des attaquants de provoquer un déni de service à l'aide d'un fichier contrefait qui déclenche un essai d’allocation de grands tableaux png_pixels.

  • CVE-2017-18220

    Les fonctions ReadOneJNGImage et ReadJNGImage dans coders/png.c permettent à des attaquants distants de provoquer un déni de service ou éventuellement d’avoir un impact non précisé à l'aide d'un fichier contrefait, un problème relatif à CVE-2017-11403.

  • CVE-2017-18229

    Une vulnérabilité d’allocation a été découverte dans la fonction ReadTIFFImage dans coders/tiff.c. Elle permet à des attaquants de provoquer un déni de service à l'aide d'un fichier contrefait, parce que la taille d’un fichier n’est pas correctement utilisée pour restreindre les allocations de scanline, strip et tile.

  • CVE-2017-18230

    Une vulnérabilité de déréférencement de pointeur NULL a été découverte dans la fonction ReadCINEONImage dans coders/cineon.c. Elle permet à des attaquants de provoquer un déni de service à l'aide d'un fichier contrefait.

  • CVE-2017-18231

    Une vulnérabilité de déréférencement de pointeur NULL a été découverte dans la fonction ReadEnhMetaFile dans coders/emf.c. Elle permet à des attaquants de provoquer un déni de service à l'aide d'un fichier contrefait.

  • CVE-2018-9018

    Il existe une erreur de division par zéro dans la fonction ReadMNGImage de coders/png.c. Des attaquants distants pourraient exploiter cette vulnérabilité pour provoquer un plantage et un déni de service à l'aide d'un fichier mng contrefait.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.3.16-1.1+deb7u19.

Nous vous recommandons de mettre à jour vos paquets graphicsmagick.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.