LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2018 / Informations sur la sécurité -- DLA-1562-2 poppler

Bulletin d'alerte Debian

DLA-1562-2 poppler -- Mise à jour de sécurité pour LTS

Date du rapport :

30 novembre 2018

Paquets concernés :

poppler

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2018-16646.

Plus de précisions :

Un problème de régression a été résolu dans poppler, la bibliothèque partagée de rendu de PDF, introduit avec la version 0.26.5-2+deb8u5.

• CVE-2018-16646

  Dans Poppler 0.68.0, la fonction Parser::getObj() dans Parser.cc peut provoquer une récursion infinie à l'aide d'un fichier contrefait. Un attaquant distant peut exploiter cela pour une attaque par déni de service.

  La solution précédente dans Debian LTS corrige le problème ci-dessus dans XRef.cc, les correctifs ont été obtenus à partir d’une requête de fusion (n° 67) sur la plateforme Git de développement de l’amont. Malheureusement, cette requête à été refusée par l’amont et une autre requête de fusion (n° 91) a été appliquée à la place. Le correctif apparait maintenant dans le fichier Parser.cc.

  Cette version de poppler fournit désormais l’ensemble des modifications qui est promu par les développeurs amont de poppler (MR n° 91) et abandonne les correctifs de MR n° 67.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 0.26.5-2+deb8u6.

Nous vous recommandons de mettre à jour vos paquets poppler.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.