LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-2009-1 tiff

Bulletin d'alerte Debian

DLA-2009-1 tiff -- Mise à jour de sécurité pour LTS

Date du rapport :

26 novembre 2019

Paquets concernés :

tiff

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2017-17095, CVE-2018-12900, CVE-2018-18661, CVE-2019-6128, CVE-2019-17546, CVE-2017-17095.

Plus de précisions :

Plusieurs problèmes ont été découvertes dans tiff, une bibliothèque pour Tag Image File Format.

• CVE-2019-17546

  L’interface RGBA contenait un dépassement d'entier qui pouvait conduire à un dépassement en écriture de tampon basé sur le tas.

• CVE-2019-6128

  Une fuite de mémoire existait due à un code de nettoyage manquant.

• CVE-2018-18661

  En cas d’épuisement de mémoire un déréférencement de pointeur NULL existait dans tiff2bw.

• CVE-2018-12900

  Correction pour un dépassement de tampon basé sur le tas qui pourrait être utilisé pour planter l’application ou même pour exécuter du code arbitraire (avec les droits de l’utilisateur exécutant cette application).

• CVE-2017-17095

  Un fichier tiff contrefait pourrait conduire à un dépassement de tampon basé sur le tas dans pal2rgb.

  Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 4.0.3-12.3+deb8u10.

  Nous vous recommandons de mettre à jour vos paquets tiff.

  Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.