LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1706-1 poppler

Bulletin d'alerte Debian

DLA-1706-1 poppler -- Mise à jour de sécurité pour LTS

Date du rapport :

8 mars 2019

Paquets concernés :

poppler

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 913177, Bogue 917325, Bogue 918158, Bogue 921215, Bogue 923414.
Dans le dictionnaire CVE du Mitre : CVE-2018-19058, CVE-2018-20481, CVE-2018-20662, CVE-2019-7310, CVE-2019-9200.

Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans la bibliothèque de rendu partagée de PDF, poppler.

• CVE-2018-19058

  Une interruption accessible dans Object.h peut aboutir à un déni de service à cause d’un manque de vérification dans EmbFile::save2 de FileSpec.cc avant de sauvegarder un fichier intégré.

• CVE-2018-20481

  Poppler gère incorrectement des entrées XRef non allouées. Cela permet à des attaquants distants de provoquer un déni de service (déréférencement de pointeur NULL) à l'aide d'un document PDF contrefait.

• CVE-2018-20662

  Poppler permet à des attaquants de provoquer un déni de service (plantage d'application et erreur de segmentation) en contrefaisant un fichier PDF dans lequel une structure de données xref est corrompue.

• CVE-2019-7310

  Une lecture hors limites de tampon basé sur le tas (due à une erreur d’absence de signe d’entier dans la fonction XRef::getEntry dans XRef.cc) permet à des attaquants distants de provoquer un déni de service (plantage d'application) ou éventuellement d’avoir un impact non précisé à l'aide d'un document PDF contrefait.

• CVE-2019-9200

  Une écriture hors limites de tampon basé sur le tas existe dans ImageStream::getLine() situé dans Stream.cc qui peut (par exemple) être déclenchée par l’envoi d’un fichier PDF contrefait au binaire pdfimages. Il permet à un attaquant de provoquer un déni de service (erreur de segmentation) ou éventuellement d’avoir un impact non précisé.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 0.26.5-2+deb8u8.

Nous vous recommandons de mettre à jour vos paquets poppler.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.