Bulletin d'alerte Debian
DLA-1562-2 poppler -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 30 novembre 2018
- Paquets concernés :
- poppler
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2018-16646.
- Plus de précisions :
-
Un problème de régression a été résolu dans poppler, la bibliothèque partagée de rendu de PDF, introduit avec la version 0.26.5-2+deb8u5.
- CVE-2018-16646
Dans Poppler 0.68.0, la fonction Parser::getObj() dans Parser.cc peut provoquer une récursion infinie à l'aide d'un fichier contrefait. Un attaquant distant peut exploiter cela pour une attaque par déni de service.
La solution précédente dans Debian LTS corrige le problème ci-dessus dans XRef.cc, les correctifs ont été obtenus à partir d’une requête de fusion (n° 67) sur la plateforme Git de développement de l’amont. Malheureusement, cette requête à été refusée par l’amont et une autre requête de fusion (n° 91) a été appliquée à la place. Le correctif apparait maintenant dans le fichier Parser.cc.
Cette version de poppler fournit désormais l’ensemble des modifications qui est promu par les développeurs amont de poppler (MR n° 91) et abandonne les correctifs de MR n° 67.
Pour Debian 8
Jessie
, ce problème a été corrigé dans la version 0.26.5-2+deb8u6.Nous vous recommandons de mettre à jour vos paquets poppler.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.
- CVE-2018-16646