Bulletin d'alerte Debian

DSA-5323-1 libitext5-java -- Mise à jour de sécurité

Date du rapport :
19 janvier 2023
Paquets concernés :
libitext5-java
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 1014597.
Dans le dictionnaire CVE du Mitre : CVE-2021-43113.
Plus de précisions :

La fonction CompareTool de iText, une bibliothèque Java de création de PDF qui utilise le logiciel externe Ghostscript pour comparer des fichiers PDF au niveau des pixels, permettait une injection de commande lors de l'analyse d'un nom de fichier contrefait pour l'occasion.

Pour la distribution stable (Bullseye), ce problème a été corrigé dans la version 5.5.13.2-1+deb11u1.

Nous vous recommandons de mettre à jour vos paquets libitext5-java.

Pour disposer d'un état détaillé sur la sécurité de libitext5-java, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libitext5-java.