LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1689-1 elfutils

Bulletin d'alerte Debian

DLA-1689-1 elfutils -- Mise à jour de sécurité pour LTS

Date du rapport :

25 février 2019

Paquets concernés :

elfutils

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2017-7608, CVE-2017-7610, CVE-2017-7611, CVE-2017-7612, CVE-2017-7613, CVE-2018-16062, CVE-2018-18310, CVE-2018-18520, CVE-2018-18521, CVE-2019-7149, CVE-2019-7150, CVE-2019-7665.

Plus de précisions :

Plusieurs problèmes dans elfutils, une collection d’utilitaires pour gérer des objets ELF, ont été découverts soit par des tests à données aléatoires ou en utilisant un AddressSanitizer.

• CVE-2019-7665

  Dû un problème de dépassement de tampon basé sur le tas dans la fonction elf32_xlatetom(), une entrée ELF contrefaite peut causer des erreurs de segmentation.

• CVE-2019-7150

  Ajout d’un test de validité pour des lectures partielles de données dynamiques de fichier central.

• CVE-2019-7149

  Dû à un problème de dépassement de tampon basé sur le tas dans la fonction read_srclines(), une entrée ELF contrefaite peut causer des erreurs de segmentation.

• CVE-2018-18521

  En utilisant un fichier ELF contrefait, contenant un zéro sh_entsize, une vulnérabilité de division par zéro pourrait permettre à des attaquants distants de causer un déni de service (plantage d'application).

• CVE-2018-18520

  À l’aide de tests (fuzzing), un problème de déréférencement d’adresse non valable dans la fonction elf_end a été découvert.

• CVE-2018-18310

  À l’aide de tests (fuzzing), un problème de lecture d’adresse non valable dans eu-stack a été trouvé.

• CVE-2018-16062

  En utilisant un AddressSanitizer, un dépassement de tampon basé sur le tas a été découvert.

• CVE-2017-7613

  À l’aide de tests (fuzzing), il a été découvert qu’un échec d’allocation n’était pas géré correctement.

• CVE-2017-7612

  En utilisant un fichier ELF contrefait, contenant un sh_entsize non valable, des attaquants distants pourraient causer un déni de service (plantage d'application).

• CVE-2017-7611

  En utilisant un fichier ELF contrefait, des attaquants distants pourraient causer un déni de service (plantage d'application).

• CVE-2017-7610

  En utilisant un fichier ELF contrefait, des attaquants distants pourraient causer un déni de service (plantage d'application).

• CVE-2017-7608

  À l’aide de tests (fuzzing), un dépassement de tampon basé sur le tas a été détecté.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 0.159-4.2+deb8u1.

Nous vous recommandons de mettre à jour vos paquets elfutils.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.