Bulletin d'alerte Debian

DSA-3323-1 icu -- Mise à jour de sécurité

Date du rapport :
1er août 2015
Paquets concernés :
icu
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 778511, Bogue 784773.
Dans le dictionnaire CVE du Mitre : CVE-2014-6585, CVE-2014-8146, CVE-2014-8147, CVE-2015-4760.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans la bibliothèque « International Components for Unicode » (ICU).

  • CVE-2014-8146

    L'implémentation de l'« Unicode Bidirectional Algorithm » ne suit correctement les fragments de texte isolés par leur direction. Cela permet des attaquants distants de provoquer un déni de service (dépassement de tas) ou éventuellement d'exécuter du code arbitraire grâce à du texte contrefait.

  • CVE-2014-8147

    L'implémentation de l'« Unicode Bidirectional Algorithm » utilise un type de données entières incompatible avec un fichier d'en-tête. Cela permet a des attaquants distants de provoquer un déni de service (malloc incorrecte suivie d'une libération de zone de mémoire non valable) ou éventuellement l'exécution de code arbitraire grâce à du texte contrefait.

  • CVE-2015-4760

    Le moteur de mise en page manque de multiples vérifications de limite. Cela pourrait conduire à des dépassements de tampon et à une corruption de mémoire. Un fichier contrefait pour l'occasion pourrait provoquer le plantage d'une application utilisant ICU pour analyser des fichiers de police non fiables et, éventuellement, l'exécution de code arbitraire.

De plus, il a été découvert que le correctif appliqué à ICU dans la DSA-3187-1 pour CVE-2014-6585 était incomplet, menant éventuellement à un accès mémoire non valable. Cela pourrait permettre à des attaquants distants de dévoiler des fragments de mémoire privée à l'aide de fichiers de police contrefaits.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 4.8.1.1-12+deb7u3.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 52.1-8+deb8u2.

Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 52.1-10.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 52.1-10.

Nous vous recommandons de mettre à jour vos paquets icu.