Bulletin d'alerte Debian

DLA-2998-1 kicad -- Mise à jour de sécurité pour LTS

Date du rapport :

10 mai 2022

Paquets concernés :

kicad

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2022-23803, CVE-2022-23804, CVE-2022-23946, CVE-2022-23947.

Plus de précisions :

KiCad est une suite de programmes pour la création de circuits imprimés. Il inclut un éditeur de schémas, un outil de conception de PCB, des outils d'assistance et un afficheur 3D pour visualiser le PCB finalisé avec ses composants.

Plusieurs dépassements de tampons ont été découverts dans l'afficheur Gerber et dans l'analyseur de fichier excellon, qui pouvaient conduire à l'exécution de code lors de l'ouverture d'un fichier contrefait.

CVE-2022-23803
Une vulnérabilité de dépassement de pile existe dans la fonction d'analyse de coordonnées ReadXYCoord de fichiers gerber et excellon de l'afficheur Gerber dans KiCad EDA.
CVE-2022-23804
Une vulnérabilité de dépassement de pile existe dans la fonction d'analyse de coordonnées ReadIJCoord de fichiers gerber et excellon de l'afficheur Gerber dans KiCad EDA.
CVE-2022-23946
Une vulnérabilité de dépassement de pile existe dans la fonction d'analyse de coordonnées GCodeNumber de fichiers gerber et excellon de l'afficheur dans KiCad EDA.
CVE-2022-23947
Une vulnérabilité de dépassement de pile existe dans la fonction d'analyse de coordonnées DCodeNumber de fichiers gerber et excellon de l'afficheur dans KiCad EDA.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 4.0.5+dfsg1-4+deb9u1.

Nous vous recommandons de mettre à jour vos paquets kicad.

Pour disposer d'un état détaillé sur la sécurité de kicad, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/kicad.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.