LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1719-1 libjpeg-turbo

Bulletin d'alerte Debian

DLA-1719-1 libjpeg-turbo -- Mise à jour de sécurité pour LTS

Date du rapport :

18 mars 2019

Paquets concernés :

libjpeg-turbo

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 924678.
Dans le dictionnaire CVE du Mitre : CVE-2018-14498.

Plus de précisions :

Il existait une vulnérabilité de déni de service dans la bibliothèque d’image JPEG, libjpeg-turbo, optimisée pour le CPU. Une lecture hors limites de tampon basé sur le tas pourrait être déclenchée par un fichier bitmap (BMP) contrefait pour l'occasion.

• CVE-2018-14498

  get_8bit_row dans rdbmp.c dans libjpeg-turbo jusqu’à 1.5.90 et MozJPEG jusqu’à 3.3.1 permettaient à des attaquants de provoquer un déni de service (une lecture hors limites de tampon basé sur le tas et plantage d'application) à l'aide d'un BMP 8 bits contrefait dans lequel un ou plusieurs indices de couleur sont en dehors des entrées de numéros de palette.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1:1.3.1-12+deb8u2.

Nous vous recommandons de mettre à jour vos paquets libjpeg-turbo.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.