Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3555-1 imlib2

Bulletin d'alerte Debian

DSA-3555-1 imlib2 -- Mise à jour de sécurité

Date du rapport :

23 avril 2016

Paquets concernés :

imlib2

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 639414, Bogue 785369, Bogue 819818, Bogue 820206, Bogue 821732.
Dans le dictionnaire CVE du Mitre : CVE-2011-5326, CVE-2014-9771, CVE-2016-3993, CVE-2016-3994, CVE-2016-4024.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans imlib2, une bibliothèque de manipulation d'image.

• CVE-2011-5326

  Kevin Ryde a découvert qu'une tentative pour tracer une ellipse de rayon 2x1 a pour conséquence une exception de virgule flottante.

• CVE-2014-9771

  Un dépassement d'entier pourrait conduire à des lectures de mémoire incorrectes et à des allocations de mémoire de taille déraisonnable.

• CVE-2016-3993

  Yuriy M. Kaminskiy a découvert qu'un tracé utilisant des coordonnées d'une source non fiable pourrait conduire à une lecture de mémoire hors limite qui à son tour pourrait aboutir à un plantage de l'application.

• CVE-2016-3994

  Jakub Wilk a découvert qu'une image malformée pourrait conduire à une lecture hors limite dans le chargeur de GIF qui peut avoir pour conséquence un plantage de l'application ou une fuite d'informations.

• CVE-2016-4024

  Yuriy M. Kaminskiy a découvert un dépassement d'entier qui pourrait conduire à une allocation de mémoire de tas insuffisante et à une écriture de mémoire hors limite.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 1.4.5-1+deb7u2.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.4.6-2+deb8u2.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.4.8-1.

Nous vous recommandons de mettre à jour vos paquets imlib2.