Bulletin d'alerte Debian

DLA-1968-1 imagemagick -- Mise à jour de sécurité pour LTS

Date du rapport :
21 octobre 2019
Paquets concernés :
imagemagick
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2019-11470, CVE-2019-14981, CVE-2019-15139, CVE-2019-15140.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans imagemagick, une boîte à outils de traitement d’image.

  • CVE-2019-11470

    Consommation de ressources non contrôlée causée par une taille d’image insuffisamment vérifiée dans ReadCINImage (coders/cin.c). Cette vulnérabilité peut être exploitée par des attaquants distants pour provoquer un déni de service à l'aide d'une image contrefaite Cineon.

  • CVE-2019-14981

    Vulnérabilité de division par zéro dans MeanShiftImage (magick/feature.c). Cette vulnérabilité peut être exploitée par des attaquants distants pour provoquer un déni de service à l’aide de données d’image contrefaites.

  • CVE-2019-15139

    Lecture hors limites dans ReadXWDImage (coders/xwd.c). Cette vulnérabilité peut être exploitée par des attaquants distants pour provoquer un déni de service à l'aide d'un fichier d’image contrefait XWD (fichier de vidage d’écran du système X Window).

  • CVE-2019-15140

    Problème de vérification de limites dans ReadMATImage (coders/mat.c), conduisant éventuellement à une utilisation de mémoire après libération. Cette vulnérabilité peut être exploitée par des attaquants distants pour provoquer un déni de service ou tout autre impact non précisé à l'aide d'un fichier d’image contrefait MAT.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 8:6.8.9.9-5+deb8u18.

Nous vous recommandons de mettre à jour vos paquets imagemagick.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.