Bulletin d'alerte Debian

DLA-2672-1 imagemagick -- Mise à jour de sécurité pour LTS

Date du rapport :
5 juin 2021
Paquets concernés :
imagemagick
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-27751, CVE-2021-20243, CVE-2021-20245, CVE-2021-20309, CVE-2021-20312, CVE-2021-20313.
Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans imagemagick.

  • CVE-2020-27751

    Un défaut a été découvert dans MagickCore/quantum-export.c. Un attaquant soumettant un fichier contrefait, traité par ImageMagick, pourrait déclencher un comportement non défini sous la forme de valeurs en dehors de l’intervalle de type unsigned long long ainsi qu’un exposant de décalage qui soit trop grand pour le type 64 bits. Cela est susceptible d’avoir un impact sur la disponibilité de l’application, mais pourrait éventuellement causer d’autres problèmes relatifs à un comportement indéfini.

  • CVE-2021-20243

    Un défaut a été découvert dans MagickCore/resize.c. Un attaquant soumettant un fichier contrefait, traité par ImageMagick, pourrait déclencher un comportement indéfini sous la forme d’une division mathématique par zéro.

  • CVE-2021-20245

    Un défaut a été découvert dans coders/webp.c. Un attaquant soumettant un fichier contrefait, traité par ImageMagick, pourrait déclencher un comportement indéfini sous la forme d’une division mathématique par zéro.

  • CVE-2021-20309

    Une division par zéro dans WaveImage() de MagickCore/visual-effects.c pourrait déclencher un comportement indéfini à l'aide d'un fichier image contrefait soumis à une application utilisant ImageMagick.

  • CVE-2021-20312

    Un dépassement d'entier dans WriteTHUMBNAILImage de coders/thumbnail.c pourrait déclencher un comportement indéfini à l'aide d'un fichier image contrefait soumis par un attaquant et traité par une application utilisant ImageMagick.

  • CVE-2021-20313

    Fuite potentielle de chiffrement lorsque le calcul des signatures est possible dans TransformSignature.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 8:6.9.7.4+dfsg-11+deb9u13.

Nous vous recommandons de mettre à jour vos paquets imagemagick.

Pour disposer d'un état détaillé sur la sécurité de imagemagick, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/imagemagick.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.