LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2021 / Informations sur la sécurité -- DLA-2677-1 libwebp

Bulletin d'alerte Debian

DLA-2677-1 libwebp -- Mise à jour de sécurité pour LTS

Date du rapport :

5 juin 2021

Paquets concernés :

libwebp

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2018-25009, CVE-2018-25010, CVE-2018-25011, CVE-2018-25012, CVE-2018-25013, CVE-2018-25014, CVE-2020-36328, CVE-2020-36329, CVE-2020-36330, CVE-2020-36331.

Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans libwebp.

• CVE-2018-25009

  Une lecture hors limites a été découverte dans la fonction WebPMuxCreateInternal. Le plus grand risque de cette vulnérabilité concerne la confidentialité des données et la disponibilité du service.

• CVE-2018-25010

  Une lecture hors limites a été découverte dans la fonction ApplyFilter. Le plus grand risque de cette vulnérabilité concerne la confidentialité des données et la disponibilité du service.

• CVE-2018-25011

  Un dépassement de tampon de tas a été découvert dans PutLE16(). Le plus grand risque de cette vulnérabilité concerne la confidentialité des données et la disponibilité du service.

• CVE-2018-25012

  Une lecture hors limites a été découverte dans la fonction WebPMuxCreateInternal. Le plus grand risque de cette vulnérabilité concerne la confidentialité des données et la disponibilité du service.

• CVE-2018-25013

  Une lecture hors limites a été découverte dans la fonction dans ShiftBytes. Le plus grand risque de cette vulnérabilité concerne la confidentialité des données et la disponibilité du service.

• CVE-2018-25014

  Une variable non initialisée est utilisée dans la fonction ReadSymbol. Le plus grand risque de cette vulnérabilité concerne la confidentialité et l’intégrité des données ainsi que la disponibilité du système.

• CVE-2020-36328

  Un dépassement de tampon de tas dans la fonction WebPDecodeRGBInto est possible à cause d’une vérification non valable de la taille de tampon. Le plus grand risque de cette vulnérabilité concerne la confidentialité et l’intégrité des données ainsi que la disponibilité du système.

• CVE-2020-36329

  Une utilisation de mémoire après libération a été découverte à cause d’un processus léger tué de manière précoce. Le plus grand risque de cette vulnérabilité concerne la confidentialité et l’intégrité des données ainsi que la disponibilité du système.

• CVE-2020-36330

  Une lecture hors limites a été découverte dans la fonction ChunkVerifyAndAssign. Le plus grand risque de cette vulnérabilité concerne la confidentialité des données et la disponibilité du service.

• CVE-2020-36331

  Une lecture hors limites a été découverte dans la fonction ChunkAssignData. Le plus grand risque de cette vulnérabilité concerne la confidentialité des données et la disponibilité du service.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 0.5.2-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets libwebp.

Pour disposer d'un état détaillé sur la sécurité de libwebp, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libwebp.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.