Bulletin d'alerte Debian

DLA-2043-1 gdk-pixbuf -- Mise à jour de sécurité pour LTS

Date du rapport :
19 décembre 2019
Paquets concernés :
gdk-pixbuf
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-6352, CVE-2017-2870, CVE-2017-6312, CVE-2017-6313, CVE-2017-6314.
Plus de précisions :

Plusieurs problèmes dans gdk-pixbuf, une bibliothèque de gestion de pixbuf, ont été découverts.

  • CVE-2016-6352

    Correction pour un déni de service (écriture hors limites et plantage) à l’aide de dimensions contrefaites dans un fichier ICO.

  • CVE-2017-2870

    Correction pour une vulnérabilité exploitable de dépassement d’entier dans la fonction tiff_image_parse. Lorsque du logiciel est compilé avec clang, un fichier tiff contrefait spécialement peut provoquer un dépassement de tas aboutissant à une exécution de code à distance. Le paquet Debian est compilé avec gcc et n’est pas touché, mais probablement quelque aval l’est.

  • CVE-2017-6312

    Correction pour un dépassement d'entier dans io-ico.c, qui permet à des attaquants de provoquer un déni de service (erreur de segmentation et plantage d'application) à l'aide d'une image contrefaite.

  • CVE-2017-6313

    Correction pour un dépassement d'entier par le bas dans la fonction load_resources dans io-icns.c, qui permet des attaquants de provoquer un déni de service (lecture hors limites et plantage du programme) à l'aide d'une taille d’image en entrée contrefaite dans un fichier ICO.

  • CVE-2017-6314

    Correction pour un boucle infinie dans la fonction make_available_at_least in io-tiff.c, qui permet à des attaquants de provoquer un déni de service à l'aide d'un large fichier TIFF.

    Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 2.31.1-2+deb8u8.

    Nous vous recommandons de mettre à jour vos paquets gdk-pixbuf.

    Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.