Bulletin d'alerte Debian

DLA-2802-1 elfutils -- Mise à jour de sécurité pour LTS

Date du rapport :
31 octobre 2021
Paquets concernés :
elfutils
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 907562, Bogue 911083, Bogue 911413, Bogue 911414, Bogue 920909, Bogue 921880.
Dans le dictionnaire CVE du Mitre : CVE-2018-16062, CVE-2018-16402, CVE-2018-18310, CVE-2018-18520, CVE-2018-18521, CVE-2019-7150, CVE-2019-7665.
Plus de précisions :

Plusieurs vulnérabilités ont été corrigées dans elfutils, une collection d’utilitaires pour gérer des objets ELF.

  • CVE-2018-16062

    dwarf_getaranges dans dwarf_getaranges.c dans libdw permettait un déni de service (lecture hors limites de tampon de tas) à l'aide d'un fichier contrefait.

  • CVE-2018-16402

    libelf/elf_end.c permettait de provoquer un déni de service (double libération de zone de mémoire et plantage d'application) parce qu'il tentait deux fois de décompresser.

  • CVE-2018-18310

    Un déréférencement d'adresse mémoire non valable dans libdwfl permettait un déni de service (plantage de l'application) au moyen d'un fichier contrefait.

  • CVE-2018-18520

    Une utilisation de mémoire après libération dans des fichiers ELF ar récursifs permettait un déni de service (plantage d'application) à l'aide d'un fichier contrefait.

  • CVE-2018-18521

    Une division par zéro dans arlib_add_symbols() permettait un déni de service (plantage d'application) à l'aide d'un fichier contrefait.

  • CVE-2019-7150

    Une erreur de segmentation pourrait se produire parce que dwfl_segment_report_module() ne vérifiait pas si les données dynamiques issues d'un fichier core étaient tronquées.

  • CVE-2019-7665

    Les notes du fichier core de type NT_PLATFORM devaient contenir une chaîne terminée par zéro ce qui permettait un déni de service (plantage d'application) à l'aide d'un fichier contrefait.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 0.168-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets elfutils.

Pour disposer d'un état détaillé sur la sécurité de elfutils, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/elfutils.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.