LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2021 / Informations sur la sécurité -- DLA-2838-1 librecad

Bulletin d'alerte Debian

DLA-2838-1 librecad -- Mise à jour de sécurité pour LTS

Date du rapport :

3 décembre 2021

Paquets concernés :

librecad

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2021-21898, CVE-2021-21899, CVE-2021-21900.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans LibreCAD, une application de conception assistée par ordinateur (CAO) en deux dimensions. Un attaquant pourrait déclencher l'exécution de code au moyen de fichiers .dwg et .dxf malveillants.

• CVE-2021-21898

  Une vulnérabilité d'exécution de code existe dans la fonctionnalité dwgCompressor::decompress18() de libdxfrw de LibreCad. Un fichier .dwg contrefait pour l'occasion peut conduire à une écriture hors limites.

• CVE-2021-21899

  Une vulnérabilité d'exécution de code existe dans la fonctionnalité dwgCompressor::copyCompBytes21 de libdxfrw de LibreCad. Un fichier .dwg contrefait pour l'occasion peut conduire à un dépassement de tampon de tas.

• CVE-2021-21900

  Une vulnérabilité d'exécution de code existe dans la fonctionnalité dxfRW::processLType() de libdxfrw de LibreCad. Un fichier .dxf contrefait pour l'occasion peut conduire à une vulnérabilité d'utilisation de mémoire après libération.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 2.1.2-1+deb9u2.

Nous vous recommandons de mettre à jour vos paquets librecad.

Pour disposer d'un état détaillé sur la sécurité de librecad, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/librecad.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.