Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3399-1 libpng

Bulletin d'alerte Debian

DSA-3399-1 libpng -- Mise à jour de sécurité

Date du rapport :

18 novembre 2015

Paquets concernés :

libpng

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 803078, Bogue 805113.
Dans le dictionnaire CVE du Mitre : CVE-2015-7981, CVE-2015-8126.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans la bibliothèque PNG libpng. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :

• CVE-2015-7981

  Qixue Xiao a découvert une vulnérabilité de lecture hors limites dans la fonction png_convert_to_rfc1123. Un attaquant distant peut éventuellement tirer avantage de ce défaut pour provoquer la divulgation d'informations provenant de la mémoire du processus.

• CVE-2015-8126

  Plusieurs dépassements de tampon ont été découverts dans les fonctions png_set_PLTE et png_get_PLTE. Un attaquant distant peut tirer avantage de ce défaut pour provoquer un déni de service (plantage de l'application) à l'aide d'une faible valeur de profondeur de bits dans le segment d'en-tête d'image (IHDR) d'une image PNG.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 1.2.49-1+deb7u1.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.2.50-2+deb8u1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.2.54-1.

Nous vous recommandons de mettre à jour vos paquets libpng.