Bulletin d'alerte Debian

DLA-1395-1 php-horde-image -- Mise à jour de sécurité pour LTS

Date du rapport :
22 juin 2018
Paquets concernés :
php-horde-image
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 876400.
Dans le dictionnaire CVE du Mitre : CVE-2017-9774, CVE-2017-14650.
Plus de précisions :

Deux vulnérabilités d’exécution de code à distance dans php-horde-image, la bibliothèque de traitement d'images pour la suite de travail collaboratif Horde https://www.horde.org/.

  • CVE-2017-9774

    Une vulnérabilité d’exécution de code à distance (RCE) qui était exploitable par un utilisateur connecté envoyant une requête GET HTTP contrefaite et malveillante à divers dorsaux d’image.

    Remarquez que le correctif appliqué en amont possède une régression en ce qu’il ignore l’option force aspect ratio. Consulter https://github.com/horde/Image/pull/1.

  • CVE-2017-14650

    Une autre RCE qui était exploitable par un utilisateur connecté envoyant une requête GET contrefaite et malveillante au dorsal im d’image.

Pour Debian 8 Jessie, ces problèmes ont été résolus dans la version 2.1.0-4+deb8u1 de php-horde-image.

Nous vous recommandons de mettre à jour vos paquets php-horde-image.