LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2021 / Informations sur la sécurité -- DLA-2802-1 elfutils

Bulletin d'alerte Debian

DLA-2802-1 elfutils -- Mise à jour de sécurité pour LTS

Date du rapport :

31 octobre 2021

Paquets concernés :

elfutils

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 907562, Bogue 911083, Bogue 911413, Bogue 911414, Bogue 920909, Bogue 921880.
Dans le dictionnaire CVE du Mitre : CVE-2018-16062, CVE-2018-16402, CVE-2018-18310, CVE-2018-18520, CVE-2018-18521, CVE-2019-7150, CVE-2019-7665.

Plus de précisions :

Plusieurs vulnérabilités ont été corrigées dans elfutils, une collection d’utilitaires pour gérer des objets ELF.

• CVE-2018-16062

  dwarf_getaranges dans dwarf_getaranges.c dans libdw permettait un déni de service (lecture hors limites de tampon de tas) à l'aide d'un fichier contrefait.

• CVE-2018-16402

  libelf/elf_end.c permettait de provoquer un déni de service (double libération de zone de mémoire et plantage d'application) parce qu'il tentait deux fois de décompresser.

• CVE-2018-18310

  Un déréférencement d'adresse mémoire non valable dans libdwfl permettait un déni de service (plantage de l'application) au moyen d'un fichier contrefait.

• CVE-2018-18520

  Une utilisation de mémoire après libération dans des fichiers ELF ar récursifs permettait un déni de service (plantage d'application) à l'aide d'un fichier contrefait.

• CVE-2018-18521

  Une division par zéro dans arlib_add_symbols() permettait un déni de service (plantage d'application) à l'aide d'un fichier contrefait.

• CVE-2019-7150

  Une erreur de segmentation pourrait se produire parce que dwfl_segment_report_module() ne vérifiait pas si les données dynamiques issues d'un fichier core étaient tronquées.

• CVE-2019-7665

  Les notes du fichier core de type NT_PLATFORM devaient contenir une chaîne terminée par zéro ce qui permettait un déni de service (plantage d'application) à l'aide d'un fichier contrefait.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 0.168-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets elfutils.

Pour disposer d'un état détaillé sur la sécurité de elfutils, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/elfutils.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.