Plusieurs vulnérabilités de FreeImage corrigées dans Ubuntu
De multiples vulnérabilités ont été découvertes dans FreeImage, une bibliothèque de support open-source pour les formats d'images graphiques. Ces vulnérabilités, si elles ne sont pas corrigées, peuvent potentiellement conduire à des attaques par déni de service. Le 16 janvier 2024, l'équipe de sécurité d'Ubuntu a publié des mises à jour de sécurité critiques corrigeant plusieurs vulnérabilités de FreeImage dans différentes versions d'Ubuntu, y compris Ubuntu 16.04 et Ubuntu 18.04.
Cependant, les deux versions ont atteint leur fin de vie, et les mises à jour de sécurité ne sont donc disponibles que si vous avez un abonnement Ubuntu Pro. Vous pouvez également opter pour une option abordable pour sécuriser vos charges de travail Ubuntu 16.04 et Ubuntu 18.04 avec l'Extended Lifecycle Support de TuxCare.
TuxCare fournit cinq années supplémentaires de correctifs de sécurité pour Ubuntu 16.04 et Ubuntu 18.04 après la période de fin de vie. En l'absence de mises à jour de sécurité, les systèmes EOL risquent fort d'être exploités avec succès. Mais avec TuxCare, vous pouvez continuer à recevoir des correctifs de sécurité et maintenir la sécurité ainsi que la conformité de vos serveurs Ubuntu 16.04 et Ubuntu 18.04.
Qu'est-ce que la bibliothèque FreeImage ?
La bibliothèque FreeImage est une bibliothèque de traitement d'images open-source et multiplateforme qui prend en charge différents formats d'images, tels que PNG, BMP, JPEG, TIFF et autres. Elle fournit aux développeurs un ensemble complet d'outils pour charger, enregistrer, convertir et manipuler des images dans leurs applications logicielles. FreeImage est largement utilisé dans le développement de logiciels graphiques en raison de sa polyvalence, de sa facilité d'utilisation et de sa prise en charge étendue des formats.
FreeImage est disponible en deux versions : une distribution DLL binaire, pouvant être liée de manière transparente avec n'importe quel compilateur C/C++ WIN32 ou WIN64, et une distribution source. Vous pouvez les obtenir à partir de la page de téléchargement officielle.
Ubuntu corrige 5 vulnérabilités de FreeImage
Comme indiqué dans l'avis de sécurité d'Ubuntu, plusieurs versions d'Ubuntu, dont Ubuntu 23.10, Ubuntu 23.04, Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04, Ubuntu 16.04 et Ubuntu 14.04, sont concernées.
CVE-2019-12211 (score de gravité Cvss 3 : 7,5 élevé)
Cette vulnérabilité concerne la mauvaise gestion par FreeImage de certaines opérations de mémoire. Les fichiers TIFF fabriqués pourraient déclencher un débordement de la mémoire tampon du tas, ce qui pourrait conduire à une attaque par déni de service. Cette vulnérabilité ne concerne que Ubuntu 16.04 LTS et Ubuntu 20.04 LTS.
CVE-2019-12213 (score de gravité Cvss 3 : 6.5 moyen)
Dans ce cas, FreeImage traite incorrectement les images dans certaines conditions. Comme dans le cas de la vulnérabilité précédente, des fichiers TIFF fabriqués pourraient permettre à des attaquants de provoquer un épuisement de la pile, ce qui entraînerait un déni de service. Ubuntu 16.04 LTS et Ubuntu 20.04 LTS sont les seules versions affectées.
CVE-2020-21427 & CVE-2020-21428 (score de gravité Cvss 3 : 7.8 élevé)
Ces vulnérabilités par débordement de mémoire tampon proviennent du traitement incorrect par FreeImage de certaines images via un fichier d'image mal conçu. Un attaquant distant peut exploiter ces failles pour provoquer un déni de service ou exécuter du code arbitraire.
CVE-2020-22524 (score de gravité Cvss 3 : 6,5 moyen)
Cette vulnérabilité concerne le traitement incorrect de certains fichiers images par FreeImage. Un fichier PFM spécifiquement conçu peut conduire à une vulnérabilité de débordement de mémoire tampon, qui peut être exploitée par des attaquants pour provoquer un déni de service.
Conclusion
Les mises à jour de sécurité d'Ubuntu soulignent les efforts continus pour se prémunir contre les vulnérabilités dans des bibliothèques populaires comme FreeImage. En restant informés et en appliquant proactivement les correctifs de sécurité, les utilisateurs peuvent contribuer à un environnement informatique plus sûr et plus résistant. Il est vivement conseillé aux utilisateurs d'Ubuntu de mettre à jour rapidement leurs versions de FreeImage.
Debian 11 et Debian 12 ont reçu les correctifs pour ces vulnérabilités le 17 décembre 2023, et il est également conseillé aux utilisateurs de Debian de mettre à jour les installations existantes des paquets freeimage.
KernelCare Enterprise de TuxCare offre des services de correction en direct pour Linux, éliminant ainsi la nécessité de redémarrer le système ou de programmer des fenêtres de maintenance. Les distributions prises en charge comprennent toutes les distributions d'entreprise courantes, telles qu'Ubuntu, Debian, RHEL, CentOS, AlmaLinux, Rocky Linux et Oracle Linux. En outre, KernelCare Enterprise automatise le déploiement des correctifs de sécurité, garantissant leur application immédiate dans l'ensemble de votre écosystème Linux.
Source : USN-6586-1