Bulletin d'alerte Debian
DLA-1395-1 php-horde-image -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 22 juin 2018
- Paquets concernés :
- php-horde-image
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 876400.
Dans le dictionnaire CVE du Mitre : CVE-2017-9774, CVE-2017-14650. - Plus de précisions :
-
Deux vulnérabilités d’exécution de code à distance dans php-horde-image, la bibliothèque de traitement d'images pour la suite de travail collaboratif Horde https://www.horde.org/.
- CVE-2017-9774
Une vulnérabilité d’exécution de code à distance (RCE) qui était exploitable par un utilisateur connecté envoyant une requête GET HTTP contrefaite et malveillante à divers dorsaux d’image.
Remarquez que le correctif appliqué en amont possède une régression en ce qu’il ignore l’option
force aspect ratio
. Consulter https://github.com/horde/Image/pull/1. - CVE-2017-14650
Une autre RCE qui était exploitable par un utilisateur connecté envoyant une requête GET contrefaite et malveillante au dorsal
im
d’image.
Pour Debian 8
Jessie
, ces problèmes ont été résolus dans la version 2.1.0-4+deb8u1 de php-horde-image.Nous vous recommandons de mettre à jour vos paquets php-horde-image.
- CVE-2017-9774