Bulletin d'alerte Debian

DLA-2214-1 libexif -- Mise à jour de sécurité pour LTS

Date du rapport :
18 mai 2020
Paquets concernés :
libexif
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-6328, CVE-2017-7544, CVE-2018-20030, CVE-2020-0093, CVE-2020-12767.
Plus de précisions :

Diverses vulnérabilités ont été corrigées dans libexif, une bibliothèque pour analyser les fichiers de métadonnées EXIF.

  • CVE-2016-6328

    Un dépassement d'entier lors de l’analyse des données d’entrée MNOTE dans le fichier d’entrée a été découvert. Cela pouvait causer un déni de service et une divulgation d'informations (divulgation de métadonnées critiques de partie du tas, ou même des données privées d’autres applications).

  • CVE-2017-7544

    libexif était vulnérable à une lecture hors limites de tas dans la fonction exif_data_save_data_entry dans libexif/exif-data.c, causée par un calcul incorrect de longueur des données allouées dans une entrée ExifMnote qui pouvait provoquer un déni de service ou éventuellement une divulgation d'informations.

  • CVE-2018-20030

    Une erreur lors du traitement des balises EXIF_IFD_INTEROPERABILITY et EXIF_IFD_EXIF dans la version de libexif pouvait être exploitée pour épuiser les ressources disponibles de CPU.

  • CVE-2020-0093

    Dans exif_data_save_data_entry de exif-data.c, il existait une possibilité de lecture hors limites due à une vérification manquante de limites. Cela pouvait amener une divulgation locale d'informations sans besoin de droits d’exécution supplémentaires. Une interaction de l’utilisateur était nécessaire pour son exploitation.

  • CVE-2020-12767

    libexif comportait une erreur de division par zéro dans exif_entry_get_value dans exif-entry.c.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 0.6.21-2+deb8u2.

Nous vous recommandons de mettre à jour vos paquets libexif.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.