Bulletin d'alerte Debian

DSA-4681-1 webkit2gtk -- Mise à jour de sécurité

Date du rapport :
7 mai 2020
Paquets concernés :
webkit2gtk
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-3885, CVE-2020-3894, CVE-2020-3895, CVE-2020-3897, CVE-2020-3899, CVE-2020-3900, CVE-2020-3901, CVE-2020-3902.
Plus de précisions :

Les vulnérabilités suivantes ont été découvertes dans le moteur web webkit2gtk :

  • CVE-2020-3885

    Ryan Pickren a découvert qu'une URL de fichier peut être traitée incorrectement.

  • CVE-2020-3894

    Sergei Glazunov a découvert qu'une situation de compétition peut permettre à une application de lire de la mémoire sensible.

  • CVE-2020-3895

    grigoritchy a découvert que le traitement de contenu web contrefait pourrait conduire à l'exécution de code arbitraire.

  • CVE-2020-3897

    Brendan Draper a découvert qu'un attaquant distant pourrait être en mesure de provoquer l'exécution de code arbitraire.

  • CVE-2020-3899

    OSS-Fuzz a découvert qu'un attaquant distant pourrait être en mesure de provoquer l'exécution de code arbitraire.

  • CVE-2020-3900

    Dongzhuo Zhao a découvert que le traitement de contenu web contrefait pourrait conduire à l'exécution de code arbitraire.

  • CVE-2020-3901

    Benjamin Randazzo a découvert que le traitement de contenu web contrefait pourrait conduire à l'exécution de code arbitraire.

  • CVE-2020-3902

    Yigit Can Yilmaz a découvert que le traitement de contenu web contrefait pourrait conduire à une attaque par script intersite.

Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 2.28.2-2~deb10u1.

Nous vous recommandons de mettre à jour vos paquets webkit2gtk.

Pour disposer d'un état détaillé sur la sécurité de webkit2gtk, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/webkit2gtk.