Bulletin d'alerte Debian

DSA-4515-1 webkit2gtk -- Mise à jour de sécurité

Date du rapport :
4 septembre 2019
Paquets concernés :
webkit2gtk
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2019-8644, CVE-2019-8649, CVE-2019-8658, CVE-2019-8666, CVE-2019-8669, CVE-2019-8671, CVE-2019-8672, CVE-2019-8673, CVE-2019-8676, CVE-2019-8677, CVE-2019-8678, CVE-2019-8679, CVE-2019-8680, CVE-2019-8681, CVE-2019-8683, CVE-2019-8684, CVE-2019-8686, CVE-2019-8687, CVE-2019-8688, CVE-2019-8689, CVE-2019-8690.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le moteur web webkit2gtk :

  • CVE-2019-8644

    G. Geshev a découvert des problèmes de corruption de mémoire qui peuvent conduire à l'exécution de code arbitraire.

  • CVE-2019-8649

    Sergei Glazunov a découvert un problème qui pourrait conduire à une vulnérabilité de script intersite universel.

  • CVE-2019-8658

    akayn a découvert un problème qui pourrait conduire à une vulnérabilité de script intersite universel.

  • CVE-2019-8666

    Zongming Wang et Zhe Jin ont découvert des problèmes de corruption de mémoire qui peuvent conduire à l'exécution de code arbitraire.

  • CVE-2019-8669

    akayn a découvert des problèmes de corruption de mémoire qui peuvent conduire à l'exécution de code arbitraire.

  • CVE-2019-8671

    Apple a découvert des problèmes de corruption de mémoire qui peuvent conduire à l'exécution de code arbitraire.

  • CVE-2019-8672

    Samuel Gross a découvert des problèmes de corruption de mémoire qui peuvent conduire à l'exécution de code arbitraire.

  • CVE-2019-8673

    Soyeon Park et Wen Xu ont découvert des problèmes de corruption de mémoire qui peuvent conduire à l'exécution de code arbitraire.

  • CVE-2019-8676

    Soyeon Park et Wen Xu ont découvert des problèmes de corruption de mémoire qui peuvent conduire à l'exécution de code arbitraire.

  • CVE-2019-8677

    Jihui Lu a découvert des problèmes de corruption de mémoire qui peuvent conduire à l'exécution de code arbitraire.

  • CVE-2019-8678

    Un chercheur anonyme, Anthony Lai, Ken Wong, Jeonghoon Shin, Johnny Yu, Chris Chan, Phil Mok, Alan Ho et Byron Wai ont découvert des problèmes de corruption de mémoire qui peuvent conduire à l'exécution de code arbitraire.

  • CVE-2019-8679

    Jihui Lu a découvert des problèmes de corruption de mémoire qui peuvent conduire à l'exécution de code arbitraire.

  • CVE-2019-8680

    Jihui Lu a découvert des problèmes de corruption de mémoire qui peuvent conduire à l'exécution de code arbitraire.

  • CVE-2019-8681

    G. Geshev a découvert des problèmes de corruption de mémoire qui peuvent conduire à l'exécution de code arbitraire.

  • CVE-2019-8683

    lokihardt a découvert des problèmes de corruption de mémoire qui peuvent conduire à l'exécution de code arbitraire.

  • CVE-2019-8684

    lokihardt a découvert des problèmes de corruption de mémoire qui peuvent conduire à l'exécution de code arbitraire.

  • CVE-2019-8686

    G. Geshev a découvert des problèmes de corruption de mémoire qui peuvent conduire à l'exécution de code arbitraire.

  • CVE-2019-8687

    Apple a découvert des problèmes de corruption de mémoire qui peuvent conduire à l'exécution de code arbitraire.

  • CVE-2019-8688

    Insu Yun a découvert des problèmes de corruption de mémoire qui peuvent conduire à l'exécution de code arbitraire.

  • CVE-2019-8689

    lokihardt a découvert des problèmes de corruption de mémoire qui peuvent conduire à l'exécution de code arbitraire.

  • CVE-2019-8690

    Sergei Glazunov a découvert un problème qui pourrait conduire à une vulnérabilité de script intersite universel.

Plus de détails sont disponibles dans l'annonce de sécurité WSA-2019-0004 de WebKitGTK et WPE WebKit.

Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 2.24.4-1~deb10u1.

Nous vous recommandons de mettre à jour vos paquets webkit2gtk.

Pour disposer d'un état détaillé sur la sécurité de webkit2gtk, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/webkit2gtk.