LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1888-1 imagemagick

Bulletin d'alerte Debian

DLA-1888-1 imagemagick -- Mise à jour de sécurité pour LTS

Date du rapport :

16 août 2019

Paquets concernés :

imagemagick

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2019-12974, CVE-2019-13135, CVE-2019-13295, CVE-2019-13297, CVE-2019-13304, CVE-2019-13305, CVE-2019-13306.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans imagemagick, une boîte à outils de traitement d’image.

• CVE-2019-12974

  Déréférencement de pointeur NULL dans ReadPANGOImage et ReadVIDImage (coders/pango.c et coders/vid.c). Cette vulnérabilité peut être exploitée par des attaquants distants pour provoquer un déni de service à l’aide de données d’image contrefaites.

• CVE-2019-13135

  Plusieurs utilisations de valeurs non initialisées dans ReadCUTImage, UnpackWPG2Raster et UnpackWPGRaster (coders/wpg.c et coders/cut.c). Ces vulnérabilités peuvent être exploitées par des attaquants distants pour provoquer un déni de service, une divulgation ou modification non permise d’informations à l’aide de données d’image contrefaites.

• CVE-2019-13295, CVE-2019-13297

  Plusieurs lectures excessives de tampon de tas dans AdaptiveThresholdImage (magick/threshold.c). Ces vulnérabilités peuvent être exploitées par des attaquants distants pour provoquer un déni de service, une divulgation ou modification non permise d’informations à l’aide de données d’image contrefaites.

• CVE-2019-13304, CVE-2019-13305, CVE-2019-13306

  Plusieurs dépassements de tampons de pile dans WritePNMImage (coders/pnm.c), conduisant à un dépassement d’écriture pouvant atteindre dix octets. Des attaquants distants peuvent exploiter ces défauts pour éventuellement réaliser une exécution de code ou un déni de service.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 8:6.8.9.9-5+deb8u17.

Nous vous recommandons de mettre à jour vos paquets imagemagick.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.