Información sobre seguridad / 2020 / Información sobre seguridad -- DSA-4624-1 evince

Aviso de seguridad de Debian

DSA-4624-1 evince -- actualización de seguridad

Fecha del informe:

14 de feb de 2020

Paquetes afectados:

evince

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el sistema de seguimiento de errores de Debian: error 927820.
En el diccionario CVE de Mitre: CVE-2017-1000159, CVE-2019-11459, CVE-2019-1010006.

Información adicional:

Se descubrieron varias vulnerabilidades en evince, un visor de documentos multipágina simple.

• CVE-2017-1000159

  Tobias Mueller informó de que el exportador a DVI de evince es propenso a una vulnerabilidad de inyección de órdenes mediante nombres de fichero preparados de una manera determinada.

• CVE-2019-11459

  Andy Nguyen informó de que las funciones tiff_document_render() y tiff_document_get_thumbnail() del backend para documentos TIFF no gestionaba errores procedentes de TIFFReadRGBAImageOriented(), dando lugar a revelación de memoria no inicializada al procesar ficheros con imágenes TIFF.

• CVE-2019-1010006

  Una vulnerabilidad de desbordamiento de memoria en el backend tiff podría dar lugar a denegación de servicio o, potencialmente, a ejecución de código arbitrario si se abre un fichero PDF preparado de una manera determinada.

Para la distribución «antigua estable» (stretch), estos problemas se han corregido en la versión 3.22.1-3+deb9u2.

Para la distribución «estable» (buster), estos problemas se han corregido en la versión 3.30.2-3+deb10u1. A la distribución «estable» solo le afecta CVE-2019-11459.

Le recomendamos que actualice los paquetes de evince.

Para información detallada sobre el estado de seguridad de evince, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/evince