LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1865-1 sdl-image1.2

Bulletin d'alerte Debian

DLA-1865-1 sdl-image1.2 -- Mise à jour de sécurité pour LTS

Date du rapport :

27 juillet 2019

Paquets concernés :

sdl-image1.2

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2018-3977, CVE-2019-5051, CVE-2019-5052, CVE-2019-7635, CVE-2019-12216, CVE-2019-12217, CVE-2019-12218, CVE-2019-12219, CVE-2019-12220, CVE-2019-12221, CVE-2019-12222.

Plus de précisions :

Les problèmes suivants ont été découverts dans sdl-image1.2, la version 1.x de la bibliothèque de chargement de fichier d’image.

• CVE-2018-3977

  Dépassement de tampon basé sur le tas dans IMG_xcf.c. Cette vulnérabilité peut être exploitée par des attaquants distants pour provoquer une exécution de code à distance ou un déni de service à l'aide d'un fichier XCF contrefait.

• CVE-2019-5051

  Dépassement de tampon basé sur le tas dans IMG_LoadPCX_RW, dans IMG_pcx.c. Cette vulnérabilité peut être exploitée par des attaquants distants pour provoquer une exécution de code à distance ou un déni de service à l'aide d'un fichier PCX contrefait.

• CVE-2019-5052

  Dépassement d’entier et dépassement subséquent de tampon dans IMG_pcx.c. Cette vulnérabilité peut être exploitée par des attaquants distants pour provoquer une exécution de code à distance ou un déni de service à l'aide d'un fichier PCX contrefait.

• CVE-2019-7635

  Dépassement de tampon basé sur le tas affectant Blit1to4, dans IMG_bmp.c. Cette vulnérabilité peut être exploitée par des attaquants distants pour provoquer un déni de service ou d'autres impacts non précisés à l'aide d'un fichier BMP contrefait.

• CVE-2019-12216, CVE-2019-12217, CVE-2019-12218, CVE-2019-12219, CVE-2019-12220, CVE-2019-12221, CVE-2019-12222

  Plusieurs accès hors limite de lecture et écriture affectant IMG_LoadPCX_RW, dans IMG_pcx.c. Ces vulnérabilités peuvent être exploitées par des attaquants distants pour provoquer un déni de service ou tout autre impact non précisé à l'aide d'un fichier PCX contrefait.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.2.12-5+deb8u2.

Nous vous recommandons de mettre à jour vos paquets sdl-image1.2.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.