Bulletin d'alerte Debian
DSA-5397-1 wpewebkit -- Mise à jour de sécurité
- Date du rapport :
- 3 mai 2023
- Paquets concernés :
- wpewebkit
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2022-0108, CVE-2022-32885, CVE-2023-27932, CVE-2023-27954, CVE-2023-28205.
- Plus de précisions :
-
Les vulnérabilités suivantes ont été découvertes dans le moteur web WebKitGTK :
- CVE-2022-0108
Luan Herrera a découvert qu'un document HTML peut être capable de fournir des cadres iframes avec des informations sensibles de l'utilisateur.
- CVE-2022-32885
P1umer et Q1IQ ont découvert que le traitement d'un contenu web contrefait pouvait conduire à l'exécution de code arbitraire.
- CVE-2023-27932
Un chercheur anonyme a découvert que le traitement d'un contenu web contrefait pouvait contourner la politique de même origine.
- CVE-2023-27954
Un chercheur anonyme a découvert qu'un site web peut être capable de pister des informations sensibles de l'utilisateur.
- CVE-2023-28205
Clement Lecigne et Donncha O Cearbhaill ont découvert que le traitement d'un contenu web contrefait pouvait conduire à l'exécution de code arbitraire. Apple a eu connaissance d'un rapport indiquant que ce problème peut avoir été activement exploité.
Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 2.38.6-1~deb11u1.
Nous vous recommandons de mettre à jour vos paquets wpewebkit.
Pour disposer d'un état détaillé sur la sécurité de wpewebkit, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/wpewebkit.
- CVE-2022-0108