LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2023 / Informations sur la sécurité -- DLA-3381-1 ghostscript

Bulletin d'alerte Debian

DLA-3381-1 ghostscript -- Mise à jour de sécurité pour LTS

Date du rapport :

4 avril 2023

Paquets concernés :

ghostscript

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2023-28879.

Plus de précisions :

Il a été découvert qu’il existait une vulnérabilité potentielle de dépassement de tampon dans ghostscript, un interpréteur populaire pour le langage PostScript utilisé, par exemple, pour créer des fichiers PDF.

• CVE-2023-28879

  Dans Ghostscript d’Artifex jusqu’à la version 10.01.0, un dépassement de tampon existe, conduisant à une corruption potentielle de données, interne à l’interpréteur PostScript, dans base/sbcp.c. Cela affecte BCPEncode, BCPDecode, TBCPEncode et TBCPDecode. Si le tampon écrit est rempli à un octet de moins que le total possible et qu’une écriture d’un caractère d’échappement est tentée, alors deux octets sont écrits.

Pour Debian 10 Buster, ce problème a été corrigé dans la version 9.27~dfsg-2+deb10u7.

Nous vous recommandons de mettre à jour vos paquets ghostscript.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.