TLP:CLEAR PAP:WHITE
Boletines de seguridad de Debian
Descripción
DSA-5381-1. Se han descubierto varias vulnerabilidades de seguridad en el servlet Tomcat y en el motor JSP.
CVE-2022-42252, CVE-2022-45143, CVE-2023-28708 .
DSA-5383-1. Se descubrió que Ghostscript, el intérprete de GPL PostScript/PDF, es propenso a una vulnerabilidad de desbordamiento de búfer en los filtros de codificación (T)BCP, lo que podría resultar en la ejecución de código arbitrario si se procesan archivos de documentos con formato incorrecto (a pesar de la zona de pruebas -dSAFER estando habilitado).
CVE-2023-28879.
DSA-5382-1. Se informó que cairosvg, un convertidor de SVG basado en Cairo, puede enviar solicitudes a hosts externos al procesar archivos SVG especialmente diseñados con carga de recursos de archivos externos. Un atacante puede aprovechar esta falla para realizar una falsificación de solicitud del lado del servidor o una denegación de servicio. La obtención de archivos externos está deshabilitada de forma predeterminada con esta actualización.
CVE-2023-27586.
DSA-5384-1. Se han descubierto múltiples vulnerabilidades de seguridad en OpenImageIO, una biblioteca para leer y escribir imágenes. Los desbordamientos de búfer y los errores de programación de lectura y escritura fuera de los límites pueden provocar una denegación de servicio (bloqueo de la aplicación) o la ejecución de código arbitrario si se procesa un archivo de imagen con formato incorrecto.
CVE-2022-36354 , CVE-2022-41639 , CVE-2022-41649 , CVE-2022-41684 , CVE -2022-41794 , CVE- 2022-41837 , CVE-2022-41838 , CVE - 2022-41981 , CVE-2022-41988 , CVE-2022-41999 , CVE-2022-43592 , CVE-2022-43593 , CVE-2022-43597 , CVE-2022-43598 , CVE-2022-43599 , CVE-2022-43600 , CVE-2022-43601 , CVE-2022-43602 , CVE-2022-43603 .
CVE-2022-42252, CVE-2022-45143, CVE-2023-28708 .
DSA-5383-1. Se descubrió que Ghostscript, el intérprete de GPL PostScript/PDF, es propenso a una vulnerabilidad de desbordamiento de búfer en los filtros de codificación (T)BCP, lo que podría resultar en la ejecución de código arbitrario si se procesan archivos de documentos con formato incorrecto (a pesar de la zona de pruebas -dSAFER estando habilitado).
CVE-2023-28879.
DSA-5382-1. Se informó que cairosvg, un convertidor de SVG basado en Cairo, puede enviar solicitudes a hosts externos al procesar archivos SVG especialmente diseñados con carga de recursos de archivos externos. Un atacante puede aprovechar esta falla para realizar una falsificación de solicitud del lado del servidor o una denegación de servicio. La obtención de archivos externos está deshabilitada de forma predeterminada con esta actualización.
CVE-2023-27586.
DSA-5384-1. Se han descubierto múltiples vulnerabilidades de seguridad en OpenImageIO, una biblioteca para leer y escribir imágenes. Los desbordamientos de búfer y los errores de programación de lectura y escritura fuera de los límites pueden provocar una denegación de servicio (bloqueo de la aplicación) o la ejecución de código arbitrario si se procesa un archivo de imagen con formato incorrecto.
CVE-2022-36354 , CVE-2022-41639 , CVE-2022-41649 , CVE-2022-41684 , CVE -2022-41794 , CVE- 2022-41837 , CVE-2022-41838 , CVE - 2022-41981 , CVE-2022-41988 , CVE-2022-41999 , CVE-2022-43592 , CVE-2022-43593 , CVE-2022-43597 , CVE-2022-43598 , CVE-2022-43599 , CVE-2022-43600 , CVE-2022-43601 , CVE-2022-43602 , CVE-2022-43603 .
Productos afectados
- tomcat9
- ghostscript
- cairosvg
- openimageio
Riesgo
Crítico
Soluciones
- Los fallos en el servlet Tomcat y en el motor JSP se solucionaron en la versión 9.0.43-2~deb11u6.
- Los fallos en el Ghostscript se solucionaron en la versión 9.53.3~dfsg-7+deb11u4.
- Los fallos en cairosvg se solucionaron en la versión 2.5.0-1.1+deb11u1.
- Los fallos en OpenImageIO se solucionaron en la versión 2.2.10.1+dfsg-1+deb11u1.
Referencias
Contacto
Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es