Bulletin d'alerte Debian
DSA-3655-1 mupdf -- Mise à jour de sécurité
- Date du rapport :
- 26 août 2016
- Paquets concernés :
- mupdf
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 832031, Bogue 833417.
Dans le dictionnaire CVE du Mitre : CVE-2016-6265, CVE-2016-6525. - Plus de précisions :
-
Deux vulnérabilités ont été découvertes dans MuPDF, un lecteur léger de PDF. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2016-6265
Marco Grassi a découvert une vulnérabilité d'utilisation de mémoire après libération dans MuPDF. Un attaquant peut tirer avantage de ce défaut pour provoquer un plantage de l'application (déni de service), ou éventuellement pour exécuter du code arbitraire avec les droits de l'utilisateur exécutant MuPDF, lors du traitement d'un fichier PDF contrefait pour l'occasion.
- CVE-2016-6525
Yu Hong et Zheng Jihong ont découvert une vulnérabilité de dépassement de zone mémoire dans la fonction pdf_load_mesh_params, permettant à un attaquant de provoquer un plantage de l'application (déni de service), ou éventuellement d'exécuter du code arbitraire avec les droits de l'utilisateur exécutant MuPDF, lors du traitement d'un fichier PDF contrefait pour l'occasion.
Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.5-1+deb8u1.
Nous vous recommandons de mettre à jour vos paquets mupdf.
- CVE-2016-6265