Bulletin d'alerte Debian

DLA-1619-1 graphicsmagick -- Mise à jour de sécurité pour LTS

Date du rapport :
27 décembre 2018
Paquets concernés :
graphicsmagick
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 916752, Bogue 916719, Bogue 916721.
Dans le dictionnaire CVE du Mitre : CVE-2018-20184, CVE-2018-20185, CVE-2018-20189.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le système de traitement d’image GraphicsMagick.

  • CVE-2018-20184

    La fonction WriteTGAImage (tga.c) est sujette à un dépassement de tampon basé sur le tas. Des attaquants distants peuvent exploiter cette vulnérabilité pour provoquer un déni de service à l'aide d’un fichier d’image contrefait.

  • CVE-2018-20185

    La fonction ReadBMPImage (bmp.c) est sujette à une lecture hors limites de tampon basé sur le tas. Des attaquants distants peuvent exploiter cette vulnérabilité pour provoquer un déni de service à l'aide d’un fichier d’image contrefait.

  • CVE-2018-20189

    La fonction ReadDIBImage (coders/dib.c) est sujette à une erreur d’assertion. Des attaquants distants peuvent exploiter cette vulnérabilité pour provoquer un déni de service à l'aide d’un fichier d’image contrefait.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.3.20-3+deb8u5.

Nous vous recommandons de mettre à jour vos paquets graphicsmagick.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.