Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3309-1 tidy

Bulletin d'alerte Debian

DSA-3309-1 tidy -- Mise à jour de sécurité

Date du rapport :

18 juillet 2015

Paquets concernés :

tidy

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 792571.
Dans le dictionnaire CVE du Mitre : CVE-2015-5522, CVE-2015-5523.

Plus de précisions :

Fernando Muñoz a découvert qu'une entrée HTML invalide passée à tidy, un outil qui vérifie la syntaxe et reformate du HTML, pourrait déclencher un dépassement de tampon. Cela pourrait permettre à des attaquants distants de provoquer un déni de service (plantage) ou éventuellement d'exécuter du code arbitraire.

Geoff McLane a aussi découvert qu'un problème similaire pourrait déclencher un dépassement d'entier, menant à une allocation de mémoire de 4Go. Cela pourrait permettre à des attaquants distants de provoquer un déni de service en saturant la mémoire de la cible.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 20091223cvs-1.2+deb7u1.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 20091223cvs-1.4+deb8u1.

Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.

Nous vous recommandons de mettre à jour vos paquets tidy.