Bulletin d'alerte Debian

DLA-3044-1 glib2.0 -- Mise à jour de sécurité pour LTS

Date du rapport :
6 juin 2022
Paquets concernés :
glib2.0
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 984969, Bogue 982778, Bogue 982779.
Dans le dictionnaire CVE du Mitre : CVE-2021-27218, CVE-2021-27219, CVE-2021-28153.
Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans glib2.0, une bibliothèque d'utilitaires généralistes pour l'environnement GNOME.

  • CVE-2021-27218

    Si g_byte_array_new_take() était appelé avec un tampon de 4 Go ou plus sur une plateforme 64 bits, la longueur pourrait être tronquée modulo 2**32, provoquant une troncature imprévue de longueur.

  • CVE-2021-27219

    La fonction g_bytes_new présente un dépassement d'entier sur les plateformes 64 bits à cause d'un forçage de 64 bits à 32 bits. Le dépassement pouvait éventuellement mener à une corruption de mémoire.

  • CVE-2021-28153

    Quand g_file_replace() est employé avec G_FILE_CREATE_REPLACE_DESTINATION pour remplacer un chemin qui est un lien symbolique bancal, il crée aussi incorrectement la cible du lien symbolique sous la forme d'un fichier vide. Cela pouvait avoir probablement une incidence sur la sécurité si le lien symbolique est contrôlé par l'attaquant. (Si le chemin est un lien symbolique vers un fichier déjà existant, alors le contenu de ce fichier demeure inchangé de façon correcte.)

    Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 2.50.3-2+deb9u3.

    Nous vous recommandons de mettre à jour vos paquets glib2.0.

    Pour disposer d'un état détaillé sur la sécurité de glib2.0, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/glib2.0.

    Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.