Bulletin d'alerte Debian
DLA-2043-1 gdk-pixbuf -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 19 décembre 2019
- Paquets concernés :
- gdk-pixbuf
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2016-6352, CVE-2017-2870, CVE-2017-6312, CVE-2017-6313, CVE-2017-6314.
- Plus de précisions :
-
Plusieurs problèmes dans gdk-pixbuf, une bibliothèque de gestion de pixbuf, ont été découverts.
- CVE-2016-6352
Correction pour un déni de service (écriture hors limites et plantage) à l’aide de dimensions contrefaites dans un fichier ICO.
- CVE-2017-2870
Correction pour une vulnérabilité exploitable de dépassement d’entier dans la fonction tiff_image_parse. Lorsque du logiciel est compilé avec clang, un fichier tiff contrefait spécialement peut provoquer un dépassement de tas aboutissant à une exécution de code à distance. Le paquet Debian est compilé avec gcc et n’est pas touché, mais probablement quelque aval l’est.
- CVE-2017-6312
Correction pour un dépassement d'entier dans io-ico.c, qui permet à des attaquants de provoquer un déni de service (erreur de segmentation et plantage d'application) à l'aide d'une image contrefaite.
- CVE-2017-6313
Correction pour un dépassement d'entier par le bas dans la fonction load_resources dans io-icns.c, qui permet des attaquants de provoquer un déni de service (lecture hors limites et plantage du programme) à l'aide d'une taille d’image en entrée contrefaite dans un fichier ICO.
- CVE-2017-6314
Correction pour un boucle infinie dans la fonction make_available_at_least in io-tiff.c, qui permet à des attaquants de provoquer un déni de service à l'aide d'un large fichier TIFF.
Pour Debian 8
Jessie
, ces problèmes ont été corrigés dans la version 2.31.1-2+deb8u8.Nous vous recommandons de mettre à jour vos paquets gdk-pixbuf.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.
- CVE-2016-6352