Bulletin d'alerte Debian

DLA-2031-1 freeimage -- Mise à jour de sécurité pour LTS

Date du rapport :
10 décembre 2019
Paquets concernés :
freeimage
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 929597.
Dans le dictionnaire CVE du Mitre : CVE-2019-12211, CVE-2019-12213.
Plus de précisions :

Il a été découvert que freeimage, une bibliothèque graphique, était affectée par les deux problèmes de sécurité suivants :

  • CVE-2019-12211

    Dépassement de tampon de tas causé par un memcpy non valable dans PluginTIFF. Ce défaut pouvait être exploité par des attaquants distants pour déclencher un déni de service ou tout autre impact non précisé à l’aide de données TIFF contrefaites.

  • CVE-2019-12213

    Épuisement de pile causé par une récursion non voulue dans PluginTIFF. Ce défaut pouvait être exploité par des attaquants distants pour déclencher un déni de service à l’aide de données TIFF contrefaites.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 3.15.4-4.2+deb8u2.

Nous vous recommandons de mettre à jour vos paquets freeimage.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.