Bulletin d'alerte Debian

DSA-4496-1 pango1.0 -- Mise à jour de sécurité

Date du rapport :
11 août 2019
Paquets concernés :
pango1.0
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 933860.
Dans le dictionnaire CVE du Mitre : CVE-2019-1010238.
Plus de précisions :

Benno Fuenfstueck a découvert que Pango, une bibliothèque pour la mise en page et le rendu de texte mettant l'accent sur l'internationalisation, est prédisposé à un défaut de dépassement de tas dans la fonction pango_log2vis_get_embedding_levels. Un attaquant peut tirer avantage de ce défaut pour un déni de service ou éventuellement l'exécution de code arbitraire.

Pour la distribution stable (Buster), ce problème a été corrigé dans la version 1.42.4-7~deb10u1.

Nous vous recommandons de mettre à jour vos paquets pango1.0.

Pour disposer d'un état détaillé sur la sécurité de pango1.0, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/pango1.0.