Bulletin d'alerte Debian

DLA-1378-1 tiff3 -- Mise à jour de sécurité pour LTS

Date du rapport :
14 mai 2018
Paquets concernés :
tiff3
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 893806.
Dans le dictionnaire CVE du Mitre : CVE-2018-8905.
Plus de précisions :

Un dépassement de tampon basé sur le tas a été découvert dans la fonction LZWDecodeCompat dans tif_lzw.c (LibTIFF 4.0.9 et versions précédentes). Cette vulnérabilité peut être exploitée par des attaquants distants pour planter le client à l'aide d'un fichier TIFF LZW contrefait.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 3.9.6-11+deb7u11.

Nous vous recommandons de mettre à jour vos paquets tiff3.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.