LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1866-1 glib2.0

Bulletin d'alerte Debian

DLA-1866-1 glib2.0 -- Mise à jour de sécurité pour LTS

Date du rapport :

31 juillet 2019

Paquets concernés :

glib2.0

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 931234.
Dans le dictionnaire CVE du Mitre : CVE-2018-16428, CVE-2018-16429, CVE-2019-13012.

Plus de précisions :

Divers problèmes mineurs ont été corrigés dans la bibliothèque GLib. GLib est une bibliothèque C d’usage général utilisée par des projets tels que GTK+, GIMP et GNOME.

• CVE-2018-16428

  Dans GNOME GLib, g_markup_parse_context_end_parse() dans gmarkup.c possède un déréférencement de pointeur NULL.

• CVE-2018-16429

  GNOME GLib possède une vulnérabilité de lecture hors limites dans g_markup_parse_context_parse() dans gmarkup.c, concernant utf8_str().

• CVE-2019-13012

  Le dorsal de réglages de fichier de clefs dans GNOME GLib (c'est-à-dire glib2.0) avant 2.60.0 créait des répertoires en utilisant g_file_make_directory_with_parents (kfsb->dir, NULL, NULL) et des fichiers en utilisant g_file_replace_contents (kfsb->file, contents, length, NULL, FALSE, G_FILE_CREATE_REPLACE_DESTINATION, NULL, NULL, NULL). Par conséquent, il ne restreignait pas correctement les permissions de répertoire (et de fichier). Pour les répertoires, la permission 0777 était utilisée, pour les fichiers, les permissions par défaut étaient utilisées. Ce problème est similaire à CVE-2019-12450.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 2.42.1-1+deb8u2.

Nous vous recommandons de mettre à jour vos paquets glib2.0.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.