LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1838-1 mupdf

Bulletin d'alerte Debian

DLA-1838-1 mupdf -- Mise à jour de sécurité pour LTS

Date du rapport :

28 juin 2019

Paquets concernés :

mupdf

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 887130, Bogue 888487, Bogue 918971.
Dans le dictionnaire CVE du Mitre : CVE-2018-5686, CVE-2019-6130, CVE-2018-6192.

Plus de précisions :

Plusieurs problèmes mineurs ont été corrigés dans mupdf, un visionneur léger de PDF adapté à l’affichage de graphismes anticrénelés et de haute qualité.

• CVE-2018-5686

  Dans MuPDF, il existait une vulnérabilité de boucle infinie et de plantage d’application dans la fonction pdf_parse_array (pdf/pdf-parse.c) à cause d’EOF n’ayant pas été pris en compte. Des attaquants distants pourraient exploiter cette vulnérabilité pour provoquer un déni de service à l'aide d'un fichier PDF contrefait.

• CVE-2019-6130

  MuPDF possède un SEGV dans la fonction fz_load_page du fichier fitz/document.c, comme prouvé par mutool. Cela concernait le mauvais traitement du numéro de page dans cbz/mucbz.c, cbz/muimg.c et svg/svg-doc.c.

• CVE-2018-6192

  Dans MuPDF, la fonction pdf_read_new_xref dans pdf/pdf-xref.c permettait à des attaquants distants de provoquer un déni de service (violation de segmentation et plantage d'application) à l'aide d'un fichier PDF contrefait.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.5-1+deb8u6.

Nous vous recommandons de mettre à jour vos paquets mupdf.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.