Bulletin d'alerte Debian

DLA-2009-1 tiff -- Mise à jour de sécurité pour LTS

Date du rapport :
26 novembre 2019
Paquets concernés :
tiff
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-17095, CVE-2018-12900, CVE-2018-18661, CVE-2019-6128, CVE-2019-17546, CVE-2017-17095.
Plus de précisions :

Plusieurs problèmes ont été découvertes dans tiff, une bibliothèque pour Tag Image File Format.

  • CVE-2019-17546

    L’interface RGBA contenait un dépassement d'entier qui pouvait conduire à un dépassement en écriture de tampon basé sur le tas.

  • CVE-2019-6128

    Une fuite de mémoire existait due à un code de nettoyage manquant.

  • CVE-2018-18661

    En cas d’épuisement de mémoire un déréférencement de pointeur NULL existait dans tiff2bw.

  • CVE-2018-12900

    Correction pour un dépassement de tampon basé sur le tas qui pourrait être utilisé pour planter l’application ou même pour exécuter du code arbitraire (avec les droits de l’utilisateur exécutant cette application).

  • CVE-2017-17095

    Un fichier tiff contrefait pourrait conduire à un dépassement de tampon basé sur le tas dans pal2rgb.

    Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 4.0.3-12.3+deb8u10.

    Nous vous recommandons de mettre à jour vos paquets tiff.

    Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.