LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2018 / Informations sur la sécurité -- DLA-1395-1 php-horde-image

Bulletin d'alerte Debian

DLA-1395-1 php-horde-image -- Mise à jour de sécurité pour LTS

Date du rapport :

22 juin 2018

Paquets concernés :

php-horde-image

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 876400.
Dans le dictionnaire CVE du Mitre : CVE-2017-9774, CVE-2017-14650.

Plus de précisions :

Deux vulnérabilités d’exécution de code à distance dans php-horde-image, la bibliothèque de traitement d'images pour la suite de travail collaboratif Horde https://www.horde.org/.

• CVE-2017-9774

  Une vulnérabilité d’exécution de code à distance (RCE) qui était exploitable par un utilisateur connecté envoyant une requête GET HTTP contrefaite et malveillante à divers dorsaux d’image.

  Remarquez que le correctif appliqué en amont possède une régression en ce qu’il ignore l’option force aspect ratio. Consulter https://github.com/horde/Image/pull/1.

• CVE-2017-14650

  Une autre RCE qui était exploitable par un utilisateur connecté envoyant une requête GET contrefaite et malveillante au dorsal im d’image.

Pour Debian 8 Jessie, ces problèmes ont été résolus dans la version 2.1.0-4+deb8u1 de php-horde-image.

Nous vous recommandons de mettre à jour vos paquets php-horde-image.