Numéro : AV16-021
Date : Le 8 février 2016
Objet
Le présent avis a pour but d'attirer l'attention sur de multiples vulnérabilités dans la bibliothèque Graphite (Libgraphite).
Évaluation
Le CCRIC est au courant de quatre vulnérabilités critiques dans la bibliothèque Graphite ce qui pourrait permettre à un attaquant distant d'exécuter du code arbitraire. Graphite est une bibliothèque de traitement de police utilisée par plusieurs applications populaires de Linux (y compris Mozilla Firefox , LibreOffice et OpenOffice).
Versions affectées : Graphite 2 - 1.3.4 et versions précédentes
Références CVE : CVE-2016-1521, CVE-2016-1522, CVE-2016-1523, CVE-2016-1526
Mesure suggérée
Le CCRIC recommande que les administrateurs de système avec des environnements utilisant des logiciels qui mettent à profit la bibliothèque Graphite 2, de vérifier avec les fournisseurs de logiciels affectés pour la disponibilité des mises à jour. Ces mises à jour doivent être testées et déployées aux applications touchées en conséquence.
Références
Cisco Talos Report
http://blog.talosintel.com/2016/02/vulnerability-spotlight-libgraphite.html (en anglais)
Graphite Github Repository
https://github.com/silnrsi/graphite (en anglais)
Applications supporting Graphite (developer page)
http://scripts.sil.org/cms/scripts/page.php?site_id=projects&item_id=graphite_apps (en Anglais)