Informations de sécurité / 2017 / Informations sur la sécurité -- DSA-3798-1 tnef

Bulletin d'alerte Debian

DSA-3798-1 tnef -- Mise à jour de sécurité

Date du rapport :

1^er mars 2017

Paquets concernés :

tnef

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 856117.
Dans le dictionnaire CVE du Mitre : CVE-2017-6307, CVE-2017-6308, CVE-2017-6309, CVE-2017-6310.

Plus de précisions :

Eric Sesterhenn, de X41 D-Sec GmbH, a découvert plusieurs vulnérabilités dans tnef, un outil pour désarchiver les pièces jointes MIME de type application/ms-tnef. Plusieurs dépassements de tas, confusions de type, et lectures et écritures hors limites pourraient être exploités en piégeant un utilisateur dans l'ouverture d'une pièce jointe malveillante. Cela pourrait avoir conséquence un déni de service par plantage de l'application, ou l'exécution potentielle de code arbitraire.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.4.9-1+deb8u1.

Nous vous recommandons de mettre à jour vos paquets tnef.