LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1651-1 libgd2

Bulletin d'alerte Debian

DLA-1651-1 libgd2 -- Mise à jour de sécurité pour LTS

Date du rapport :

30 janvier 2019

Paquets concernés :

libgd2

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2018-5711, CVE-2018-1000222, CVE-2019-6977, CVE-2019-6978.

Plus de précisions :

Plusieurs problèmes dans libgd2, a bibliothèque graphique qui permet de dessiner rapidement des images, ont été découverts.

• CVE-2019-6977

  Une double libération potentielle de zone de mémoire dans gdImage*Ptr() a été signalée par Solmaz Salimi (Rooney).

• CVE-2019-6978

  Simon Scannell a trouvé un dépassement de tas, exploitable avec des données contrefaites d’image.

• CVE-2018-1000222

  Une nouvelle vulnérabilité de double libération dans gdImageBmpPtr() a été signalée par Solmaz Salimi (Rooney).

• CVE-2018-5711

  Due à une erreur d’absence de signe d’entier, la fonction d’analyse du cœur de GIF peut entrer dans une boucle infinie. Cela conduit à un déni de service et à l’épuisement des ressources du serveur.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 2.1.0-5+deb8u12.

Nous vous recommandons de mettre à jour vos paquets libgd2.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.