Bulletin d'alerte Debian

DLA-2020-1 libonig -- Mise à jour de sécurité pour LTS

Date du rapport :
4 décembre 2019
Paquets concernés :
libonig
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 944959, Bogue 945313.
Dans le dictionnaire CVE du Mitre : CVE-2019-19012, CVE-2019-19204, CVE-2019-19246.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans la bibliothèque d’expressions rationnelles Oniguruma, utilisée notamment dans mbstring de PHP.

  • CVE-2019-19012

    Une dépassement d'entier dans la fonction search_in_range dans regexec.c conduit à une lecture hors limites, dans laquelle le décalage de lecture est sous contrôle de l’attaquant (cela affecte seulement la version compilée en 32 bits). Des attaquants distants peuvent causer un déni de service ou une divulgation d'informations, ou éventuellement provoquer un impact non précisé, à l'aide d'une expression rationnelle contrefaite.

  • CVE-2019-19204

    Dans la fonction fetch_range_quantifier dans regparse.c, PFETCH est appelé sans vérification de PEND. Cela conduit à une lecture hors limites de tampon basé sur le tas et à un déni de service à l'aide d'une expression rationnelle contrefaite.

  • CVE-2019-19246

    Une lecture hors limites de tampon basé sur le tas dans str_lower_case_match dans regexec.c peut conduire à un déni de service à l'aide d'une expression rationnelle contrefaite.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 5.9.5-3.2+deb8u4.

Nous vous recommandons de mettre à jour vos paquets libonig.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.