Bulletin d'alerte Debian
DSA-4006-1 mupdf -- Mise à jour de sécurité
- Date du rapport :
- 24 octobre 2017
- Paquets concernés :
- mupdf
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 877379, Bogue 879055.
Dans le dictionnaire CVE du Mitre : CVE-2017-14685, CVE-2017-14686, CVE-2017-14687, CVE-2017-15587. - Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans MuPDF, un lecteur de fichier PDF, qui peuvent avoir pour conséquence un déni de service ou l'exécution de code arbitraire.
- CVE-2017-14685,
CVE-2017-14686,
and CVE-2017-14687
WangLin a découvert qu'un fichier .xps contrefait peut faire planter MuPDF et éventuellement exécuter du code arbitraire de différentes façons dans la mesure où l'application fait des hypothèses non vérifiées sur le format d'entrée.
- CVE-2017-15587
Terry Chia et Jeremy Heng ont découvert un dépassement d'entier qui peut provoquer l'exécution de code arbitraire à l'aide d'un fichier .pdf contrefait.
Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 1.9a+ds1-4+deb9u1.
Nous vous recommandons de mettre à jour vos paquets mupdf.
- CVE-2017-14685,
CVE-2017-14686,
and CVE-2017-14687