Bulletin d'alerte Debian

DLA-2049-1 imagemagick -- Mise à jour de sécurité pour LTS

Date du rapport :
29 décembre 2019
Paquets concernés :
imagemagick
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 947309, Bogue 947308.
Dans le dictionnaire CVE du Mitre : CVE-2019-19948, CVE-2019-19949.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans imagemagick, une boîte à outils de traitement d’image.

  • CVE-2019-19948

    Dépassement de tampon basé sur le tas dans WriteSGIImage (coders/sgi.c) causé par une validation insuffisante de tailles de colonnes et rangées. Cette vulnérabilité peut être exploitée par des attaquants distants pour provoquer un déni de service ou tout autre impact non précisé à l’aide de données d’image contrefaites.

  • CVE-2019-19949

    Lecture hors limites de tampon basé sur le tas (due à un décalage d'entier) dans WritePNGImage (coders/png.c) causée par une vérification manquante de largeur préalable à un déréférencement de pointeur. Cette vulnérabilité peut être exploitée par des attaquants distants pour provoquer un déni de service à l’aide de données d’image contrefaites.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 8:6.8.9.9-5+deb8u19.

Nous vous recommandons de mettre à jour vos paquets imagemagick.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.