Informations de sécurité / 2017 / Informations sur la sécurité -- DSA-3774-1 lcms2

Bulletin d'alerte Debian

DSA-3774-1 lcms2 -- Mise à jour de sécurité

Date du rapport :

29 janvier 2017

Paquets concernés :

lcms2

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 852627.
Dans le dictionnaire CVE du Mitre : CVE-2016-10165.

Plus de précisions :

Ibrahim M. El-Sayed a découvert une vulnérabilité de lecture hors limites de tas dans la fonction Type_MLU_Read de lcms2, la bibliothèque de gestion de couleurs Little CMS 2, qui peut être déclenchée par une image avec un profil ICC contrefait pour l'occasion et menant à une fuite de mémoire de tas ou un déni de service pour les applications utilisant la bibliothèque lcms2.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 2.6-3+deb8u1.

Pour la distribution testing (Stretch) et la distribution unstable (Sid), ce problème a été corrigé dans la version 2.8-4.

Nous vous recommandons de mettre à jour vos paquets lcms2.