Informations de sécurité / 2022 / Informations sur la sécurité -- DSA-5309-1 wpewebkit

Bulletin d'alerte Debian

DSA-5309-1 wpewebkit -- Mise à jour de sécurité

Date du rapport :

31 décembre 2022

Paquets concernés :

wpewebkit

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2022-42852, CVE-2022-42856, CVE-2022-42867, CVE-2022-46692, CVE-2022-46698, CVE-2022-46699, CVE-2022-46700.

Plus de précisions :

Les vulnérabilités suivantes ont été découvertes dans le moteur web WPE WebKit :

• CVE-2022-42852

  hazbinhotel a découvert que le traitement d'un contenu web contrefait pouvait avoir pour conséquence la divulgation de la mémoire du processus.

• CVE-2022-42856

  Clement Lecigne a découvert que le traitement d'un contenu web contrefait pouvait conduire à l'exécution de code arbitraire.

• CVE-2022-42867

  Maddie Stone a découvert que le traitement d'un contenu web contrefait pouvait conduire à l'exécution de code arbitraire.

• CVE-2022-46692

  KirtiKumar Anandrao Ramchandani a découvert que le traitement d'un contenu web contrefait pouvait contourner la politique de même origine.

• CVE-2022-46698

  Dohyun Lee et Ryan Shin ont découvert que le traitement d'un contenu web contrefait pouvait divulguer des informations sensibles de l'utilisateur.

• CVE-2022-46699

  Samuel Gross a découvert que le traitement d'un contenu web contrefait pouvait conduire à l'exécution de code arbitraire.

• CVE-2022-46700

  Samuel Gross a découvert que le traitement d'un contenu web contrefait pouvait conduire à l'exécution de code arbitraire.

Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 2.38.3-1~deb11u1.

Nous vous recommandons de mettre à jour vos paquets wpewebkit.

Pour disposer d'un état détaillé sur la sécurité de wpewebkit, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/wpewebkit.