Bulletin d'alerte Debian

DLA-3113-1 libraw -- Mise à jour de sécurité pour LTS

Date du rapport :
16 septembre 2022
Paquets concernés :
libraw
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-35530, CVE-2020-35531, CVE-2020-35532, CVE-2020-35533.
Plus de précisions :

Plusieurs vulnérabilités d'analyse de fichier ont été corrigées dans libraw. Elles concernent les formats dng et x3f.

  • CVE-2020-35530

    Il y a une vulnérabilité de lecture hors limites, rapportée par l'utilisateur de GitHub 0xfoxone, dans la fonction new_node() (src/x3f/x3f_utils_patched.cpp) qui peut être déclenchée à l'aide d'un fichier X3F contrefait.

  • CVE-2020-35531

    Une vulnérabilité de lecture hors limites, rapportée par l'utilisateur de GitHub GirlElecta, existe dans la fonction get_huffman_diff() (src/x3f/x3f_utils_patched.cpp) lors de la lecture d'un fichier d'image.

  • CVE-2020-35532

    Une vulnérabilité de lecture hors limites, rapportée par l'utilisateur de GitHub GirlElecta, existe dans la fonction simple_decode_row() (src/x3f/x3f_utils_patched.cpp) qui peut être déclenchée à l'aide d'une image avec un grand champ row_stride.

  • CVE-2020-35533

    Une vulnérabilité de lecture hors limites, rapportée par l'utilisateur de GitHub GirlElecta, existe dans la fonction LibRaw::adobe_copy_pixel() (src/decoders/dng.cpp) lors de la lecture d'un fichier d'image.

Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version 0.19.2-2+deb10u1.

Nous vous recommandons de mettre à jour vos paquets libraw.

Pour disposer d'un état détaillé sur la sécurité de libraw, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libraw.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.