Bulletin d'alerte Debian

DLA-1562-2 poppler -- Mise à jour de sécurité pour LTS

Date du rapport :
30 novembre 2018
Paquets concernés :
poppler
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2018-16646.
Plus de précisions :

Un problème de régression a été résolu dans poppler, la bibliothèque partagée de rendu de PDF, introduit avec la version 0.26.5-2+deb8u5.

  • CVE-2018-16646

    Dans Poppler 0.68.0, la fonction Parser::getObj() dans Parser.cc peut provoquer une récursion infinie à l'aide d'un fichier contrefait. Un attaquant distant peut exploiter cela pour une attaque par déni de service.

    La solution précédente dans Debian LTS corrige le problème ci-dessus dans XRef.cc, les correctifs ont été obtenus à partir d’une requête de fusion (n° 67) sur la plateforme Git de développement de l’amont. Malheureusement, cette requête à été refusée par l’amont et une autre requête de fusion (n° 91) a été appliquée à la place. Le correctif apparait maintenant dans le fichier Parser.cc.

    Cette version de poppler fournit désormais l’ensemble des modifications qui est promu par les développeurs amont de poppler (MR n° 91) et abandonne les correctifs de MR n° 67.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 0.26.5-2+deb8u6.

Nous vous recommandons de mettre à jour vos paquets poppler.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.