Bulletin d'alerte Debian
DSA-4496-1 pango1.0 -- Mise à jour de sécurité
- Date du rapport :
- 11 août 2019
- Paquets concernés :
- pango1.0
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 933860.
Dans le dictionnaire CVE du Mitre : CVE-2019-1010238. - Plus de précisions :
-
Benno Fuenfstueck a découvert que Pango, une bibliothèque pour la mise en page et le rendu de texte mettant l'accent sur l'internationalisation, est prédisposé à un défaut de dépassement de tas dans la fonction pango_log2vis_get_embedding_levels. Un attaquant peut tirer avantage de ce défaut pour un déni de service ou éventuellement l'exécution de code arbitraire.
Pour la distribution stable (Buster), ce problème a été corrigé dans la version 1.42.4-7~deb10u1.
Nous vous recommandons de mettre à jour vos paquets pango1.0.
Pour disposer d'un état détaillé sur la sécurité de pango1.0, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/pango1.0.