Bulletin d'alerte Debian

DLA-1363-1 ghostscript -- Mise à jour de sécurité pour LTS

Date du rapport :
25 avril 2018
Paquets concernés :
ghostscript
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 896069.
Dans le dictionnaire CVE du Mitre : CVE-2018-10194.
Plus de précisions :

La fonction set_text_distance dans base/gdevpdts.c dans le composant pdfwrite de Ghostscript n’évite pas les débordements dans le calcul de position de texte. Cela permet des attaquants distants de provoquer un déni de service (plantage d'application) ou éventuellement d’avoir un impact non précisé à l'aide d'un document PDF contrefait.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 9.05~dfsg-6.3+deb7u8.

Nous vous recommandons de mettre à jour vos paquets ghostscript.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.