LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2020 / Informations sur la sécurité -- DLA-2222-1 libexif

Bulletin d'alerte Debian

DLA-2222-1 libexif -- Mise à jour de sécurité pour LTS

Date du rapport :

28 mai 2020

Paquets concernés :

libexif

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 918730, Bogue 961407, Bogue 961409, Bogue 961410.
Dans le dictionnaire CVE du Mitre : CVE-2018-20030, CVE-2020-13112, CVE-2020-13113, CVE-2020-13114.

Plus de précisions :

Diverses vulnérabilités mineures ont été corrigées dans libexif, une bibliothèque pour analyser les fichiers de métadonnées EXIF.

• CVE-2018-20030

  Ce problème a déjà été corrigé par la DLA-2214-1. Cependant, l’amont a fourni un correctif mis à jour, cela a été suivi.

• CVE-2020-13112

  Plusieurs lectures excessives de tampon dans le traitement de EXIF MakerNote pouvaient conduire à une divulgation d'informations et des plantages. Ce problème est différent du CVE-2020-0093 déjà réglé.

• CVE-2020-13113

  Une utilisation de mémoire non initialisée dans le traitement de EXIF Makernote pouvait conduire à des plantages et des conditions d’utilisation de mémoire après libération.

• CVE-2020-13114

  Une taille non limitée dans le traitement de données EXIF MakerNote de Canon pouvait conduire à des durées de calcul très longues pour le décodage de données EXIF.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 0.6.21-2+deb8u3.

Nous vous recommandons de mettre à jour vos paquets libexif.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.