LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-2043-1 gdk-pixbuf

Bulletin d'alerte Debian

DLA-2043-1 gdk-pixbuf -- Mise à jour de sécurité pour LTS

Date du rapport :

19 décembre 2019

Paquets concernés :

gdk-pixbuf

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2016-6352, CVE-2017-2870, CVE-2017-6312, CVE-2017-6313, CVE-2017-6314.

Plus de précisions :

Plusieurs problèmes dans gdk-pixbuf, une bibliothèque de gestion de pixbuf, ont été découverts.

• CVE-2016-6352

  Correction pour un déni de service (écriture hors limites et plantage) à l’aide de dimensions contrefaites dans un fichier ICO.

• CVE-2017-2870

  Correction pour une vulnérabilité exploitable de dépassement d’entier dans la fonction tiff_image_parse. Lorsque du logiciel est compilé avec clang, un fichier tiff contrefait spécialement peut provoquer un dépassement de tas aboutissant à une exécution de code à distance. Le paquet Debian est compilé avec gcc et n’est pas touché, mais probablement quelque aval l’est.

• CVE-2017-6312

  Correction pour un dépassement d'entier dans io-ico.c, qui permet à des attaquants de provoquer un déni de service (erreur de segmentation et plantage d'application) à l'aide d'une image contrefaite.

• CVE-2017-6313

  Correction pour un dépassement d'entier par le bas dans la fonction load_resources dans io-icns.c, qui permet des attaquants de provoquer un déni de service (lecture hors limites et plantage du programme) à l'aide d'une taille d’image en entrée contrefaite dans un fichier ICO.

• CVE-2017-6314

  Correction pour un boucle infinie dans la fonction make_available_at_least in io-tiff.c, qui permet à des attaquants de provoquer un déni de service à l'aide d'un large fichier TIFF.

  Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 2.31.1-2+deb8u8.

  Nous vous recommandons de mettre à jour vos paquets gdk-pixbuf.

  Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.