Bulletin d'alerte Debian

DSA-3725-1 icu -- Mise à jour de sécurité

Date du rapport :

27 novembre 2016

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 838694.
Dans le dictionnaire CVE du Mitre : CVE-2014-9911, CVE-2015-2632, CVE-2015-4844, CVE-2016-0494, CVE-2016-6293, CVE-2016-7415.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans la bibliothèque ICU (« International Components for Unicode »).

CVE-2014-9911
Michele Spagnuolo a découvert une vulnérabilité de dépassement de tampon qui pourrait permettre à des attaquants distants de provoquer un déni de service ou éventuellement d'exécuter du code arbitraire grâce à un texte contrefait.
CVE-2015-2632
Une vulnérabilité de dépassement d'entier pourrait mener à un déni de service ou à la divulgation de portions de mémoire de l'application si un attaquant est doté du contrôle sur le fichier d'entrée.
CVE-2015-4844
Des vulnérabilités de dépassement de tampon pourraient permettre à un attaquant doté du contrôle sur le fichier de fonte de réaliser un déni de service ou, éventuellement, d'exécuter du code arbitraire.
CVE-2016-0494
Des problèmes de signature d'entier ont été introduits dans le cadre de la correction CVE-2015-4844.
CVE-2016-6293
Un dépassement de tampon pourrait permettre à un attaquant de réaliser un déni de service ou de divulguer des portions de mémoire d'application.
CVE-2016-7415
Un dépassement de pile pourrait permettre à un attaquant contrôlant la chaîne locale de réaliser un déni de service et, éventuellement, d'exécuter du code arbitraire.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 52.1-8+deb8u4.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 57.1-5.

Nous vous recommandons de mettre à jour vos paquets icu.