Bulletin d'alerte Debian
DLA-3113-1 libraw -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 16 septembre 2022
- Paquets concernés :
- libraw
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2020-35530, CVE-2020-35531, CVE-2020-35532, CVE-2020-35533.
- Plus de précisions :
-
Plusieurs vulnérabilités d'analyse de fichier ont été corrigées dans libraw. Elles concernent les formats dng et x3f.
- CVE-2020-35530
Il y a une vulnérabilité de lecture hors limites, rapportée par l'utilisateur de GitHub 0xfoxone, dans la fonction
(new_node()src/x3f/x3f_utils_patched.cpp) qui peut être déclenchée à l'aide d'un fichier X3F contrefait. - CVE-2020-35531
Une vulnérabilité de lecture hors limites, rapportée par l'utilisateur de GitHub GirlElecta, existe dans la fonction
(get_huffman_diff()src/x3f/x3f_utils_patched.cpp) lors de la lecture d'un fichier d'image. - CVE-2020-35532
Une vulnérabilité de lecture hors limites, rapportée par l'utilisateur de GitHub GirlElecta, existe dans la fonction
(simple_decode_row()src/x3f/x3f_utils_patched.cpp) qui peut être déclenchée à l'aide d'une image avec un grand champrow_stride. - CVE-2020-35533
Une vulnérabilité de lecture hors limites, rapportée par l'utilisateur de GitHub GirlElecta, existe dans la fonction
(LibRaw::adobe_copy_pixel()src/decoders/dng.cpp) lors de la lecture d'un fichier d'image.
Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version 0.19.2-2+deb10u1.
Nous vous recommandons de mettre à jour vos paquets libraw.
Pour disposer d'un état détaillé sur la sécurité de libraw, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libraw.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.
- CVE-2020-35530