Bulletin d'alerte Debian

DLA-2169-1 libmtp -- Mise à jour de sécurité pour LTS

Date du rapport :
5 avril 2020
Paquets concernés :
libmtp
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-9831, CVE-2017-9832.
Plus de précisions :

libmtp est une bibliothèque pour communiquer avec les appareils concernés par MTP. Le protocole MTP (Media Transfer Protocol) est un ensemble imaginé pour des extensions personnalisées de transfert de fichiers musicaux sur des appareils USB audionumériques et de fichiers vidéos sur des lecteurs de médias USB.

  • CVE-2017-9831

    Une vulnérabilité de dépassement d’entier dans la fonction ptp_unpack_EOS_CustomFuncEx du fichier ptp-pack.c permet à des attaquants de provoquer un déni de service (accès en mémoire hors limites) ou, peut-être, une exécution de code à distance par le branchement d’un appareil mobile dans un ordinateur personnel à l’aide d’un câble USB.

  • CVE-2017-9832

    Une vulnérabilité de dépassement d’entier dans ptp-pack.c (fonction ptp_unpack_OPL) permet à des attaquants de provoquer un déni de service (accès en mémoire hors limites) ou, peut-être, une exécution de code à distance par le branchement d’un appareil mobile dans un ordinateur personnel à l’aide d’un câble USB.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.1.8-1+deb8u1.

Nous vous recommandons de mettre à jour vos paquets libmtp.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.