LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2020 / Informations sur la sécurité -- DLA-2332-1 sane-backends

Bulletin d'alerte Debian

DLA-2332-1 sane-backends -- Mise à jour de sécurité pour LTS

Date du rapport :

17 août 2020

Paquets concernés :

sane-backends

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 961302.
Dans le dictionnaire CVE du Mitre : CVE-2020-12862, CVE-2020-12863, CVE-2020-12865, CVE-2020-12867.

Plus de précisions :

Kevin Backhouse a découvert plusieurs vulnérabilités dans les dorsaux epson2 et epsonds de SANE, une bibliothèque pour les scanners. Un périphérique malveillant distant pouvait exploiter cela pour déclencher une divulgation d'informations, un déni de service et éventuellement une exécution de code à distance.

• CVE-2020-12862

  Une lecture hors limites dans Backends de SANE avant la version 1.0.30 pouvait permettre à un périphérique malveillant, connecté sur le même réseau local que la victime, de lire des informations importantes, telles que l’adressage ASLR du programme, alias GHSL-2020-082.

• CVE-2020-12863

  Une lecture hors limites dans Backends de SANE avant la version 1.0.30 pouvait permettre à un périphérique malveillant, connecté sur le même réseau local que la victime, de lire des informations importantes, telles que l’adressage ASLR du programme, alias GHSL-2020-083.

• CVE-2020-12865

  Un dépassement de tampon de tas dans Backends de SANE avant la version 1.0.30 pouvait permettre à un périphérique malveillant, connecté sur le même réseau local que la victime, d’exécuter du code arbitraire, alias GHSL-2020-084.

• CVE-2020-12867

  Une déréférencement de pointeur NULL dans sanei_epson_net_read dans Backends de SANE avant la version 1.0.30 permettait à un périphérique malveillant, connecté sur le même réseau local que la victime, de provoquer un déni de service, alias GHSL-2020-075.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 1.0.25-4.1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets sane-backends.

Pour disposer d'un état détaillé sur la sécurité de sane-backends, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/sane-backends

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.