LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2021 / Informations sur la sécurité -- DLA-2765-1 mupdf

Bulletin d'alerte Debian

DLA-2765-1 mupdf -- Mise à jour de sécurité pour LTS

Date du rapport :

23 septembre 2021

Paquets concernés :

mupdf

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2016-10246, CVE-2016-10247, CVE-2017-6060, CVE-2018-10289, CVE-2018-1000036, CVE-2020-19609.

Plus de précisions :

Plusieurs problèmes ont été découverts dans mupdf.

• CVE-2016-10246

  Un dépassement de tampon dans la fonction main dans jstest_main.c permet à des attaquants distants de provoquer un déni de service (écriture hors limites) à l'aide d'un fichier contrefait.

• CVE-2016-10247

  Un dépassement de tampon dans la fonction my_getline dans jstest_main.c permet à des attaquants distants de provoquer un déni de service (écriture hors limites) à l'aide d'un fichier contrefait.

• CVE-2017-6060

  Un dépassement de pile dans jstest_main.c permet à des attaquants distants d’avoir un impact non précisé à l'aide d'une image contrefaite.

• CVE-2018-10289

  Boucle infinie dans la fonction fz_skip_space du fichier pdf/pdf-xref.c. Un opposant distant peut exploiter cette vulnérabilité pour provoquer un déni de service à l'aide d'un fichier pdf contrefait.

• CVE-2018-1000036

  Plusieurs fuites de mémoire dans l'analyseur PDF peuvent permettre à un attaquant de provoquer un déni de service (fuite de mémoire) à l'aide d'un fichier contrefait.

• CVE-2020-19609

  Écrasement de tampon basé sur le tas dans la fonction tiff_expand_colormap() lors de l’analyse des fichiers TIFF permettant à des attaquants de provoquer un déni de service.

  Pour Debian 9 « Stretch », ces problèmes ont été corrigés dans la version 1.14.0+ds1-4+deb9u1.

  Nous vous recommandons de mettre à jour vos paquets mupdf.

  Pour disposer d'un état détaillé sur la sécurité de mupdf, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/mupdf.

  Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.