Informations de sécurité / 2020 / Informations sur la sécurité -- DSA-4624-1 evince

Bulletin d'alerte Debian

DSA-4624-1 evince -- Mise à jour de sécurité

Date du rapport :

14 février 2020

Paquets concernés :

evince

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 927820.
Dans le dictionnaire CVE du Mitre : CVE-2017-1000159, CVE-2019-11459, CVE-2019-1010006.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans evince, un visualisateur simple de documents multipages.

• CVE-2017-1000159

  Tobias Mueller a signalé que l'exportateur DVI dans evince est sujet à une vulnérabilité d'injection de commande au moyen de noms de fichier contrefaits pour l'occasion.

• CVE-2019-11459

  Andy Nguyen a signalé que les fonctions tiff_document_render() et tiff_document_get_thumbnail() dans le moteur de documents TIFF ne gérait pas les erreurs provenant de TIFFReadRGBAImageOriented(), menant à la divulgation de mémoire non initialisée lors du traitement de fichiers d'images TIFF.

• CVE-2019-1010006

  Une vulnérabilité de dépassement de tampon dans le moteur tiff pourrait conduire à un déni de service, ou éventuellement à l'exécution de code arbitraire lors de l'ouverture d'un fichier PDF contrefait pour l'occasion.

Pour la distribution oldstable (Stretch), ces problèmes ont été corrigés dans la version 3.22.1-3+deb9u2.

Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 3.30.2-3+deb10u1. La distribution stable n'est affectée que par le CVE-2019-11459.

Nous vous recommandons de mettre à jour vos paquets evince.

Pour disposer d'un état détaillé sur la sécurité de evince, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/evince.