Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2210-1 tiff

Bulletin d'alerte Debian

DSA-2210-1 tiff -- Plusieurs vulnérabilités

Date du rapport :

3 avril 2011

Paquets concernés :

tiff

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 619614.
Dans le dictionnaire CVE du Mitre : CVE-2011-0191, CVE-2011-0192, CVE-2011-1167.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans la bibliothèque de manipulation et conversion de TIFF :

• CVE-2011-0191

  Un débordement de mémoire tampon permet d'exécuter du code arbitraire ou de provoquer un déni de service à l'aide d'une image TIFF contrefaite avec un encodage JPEG. Ce problème ne concerne que le paquet de Debian 5.0 Lenny.

• CVE-2011-0192

  Un débordement de mémoire tampon permet d'exécuter du code arbitraire ou de provoquer un déni de service à l'aide d'un fichier image TIFF Internet Fax contrefait qui a été compressé avec un encodage CCITT du groupe 4.

• CVE-2011-1167

  Un débordement de mémoire tampon basée sur le tas dans le décodeur thunder (ThunderScan) permet d'exécuter du code arbitraire à l'aide d'un fichier TIFF ayant une valeur BitsPerSample inattendue.

Pour la distribution oldstable (Lenny), ces problèmes ont été corrigés dans la version 3.8.2-11.4.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 3.9.4-5+squeeze1.

Pour la distribution testing, les deux premiers problèmes ont été corrigés dans la version 3.9.4-8, le dernier problème sera corrigé prochainement.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.9.4-9.

Nous vous recommandons de mettre à jour vos paquets tiff.