À différents endroits dans le code, une mauvaise longueur de structures de données de ACSE reçues sur le réseau peut provoquer des dépassements de tampon par le haut ou par le bas lors du traitement de ces structures de données. Des vérifications liées ont été ajoutées à divers endroits afin d'empêcher ce genre d'attaques potentielles. Merci à Kevin Basista pour le rapport.
Le bogue affectera en fait toutes les applications de serveur basées sur DCMTK qui acceptent des connexions réseau entrantes DICOM qui utilisent les versions dcmtk-3.6.0 et antérieures.
(D'après : \ http://zeroscience.mk/en/vulnerabilities/ZSL-2016-5384.php)
Pour Debian 7 Wheezy
, ces problèmes ont été corrigés dans la
version 3.6.0-12+deb7u1.
Nous vous recommandons de mettre à jour vos paquets dcmtk.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.