CVE-2025-25475

commit bffa3e9116abb7038b432443f16b1bd390e80245
Author: Marco Eichelberg <eichelberg@offis.de>
Date:   Thu Jan 23 15:51:21 2025 +0100

    Fixed issue with invalid RLE compressed DICOM images.

    Fixed issue when processing an RLE compressed image where the RLE header
    contains an invalid stripe size.

    Thanks to Ding zhengzheng <xiaozheng.ding399@gmail.com> for the report
    and the sample file (PoC).

Gbp-Pq: Name 0009-CVE-2025-25475.patch

Added check to make sure: HighBit < BitsAllocated.

Forwarded: https://git.dcmtk.org/?p=dcmtk.git;a=commit;h=03e851b0586d05057c3268988e180ffb426b2e03
Bug-Debian: https://bugs.debian.org/1093047
Reviewed-By: Étienne Mollier <emollier@debian.org>
Last-Update: 2025-01-18

Added check to the image preprocessing to make sure that the value of
HighBit is always less than the value of BitsAllocated. Before, this
missing check could lead to memory corruption if an invalid combination
of values was retrieved from a malformed DICOM dataset.

Thanks to Emmanuel Tacheau from the Cisco Talos team
<vulndiscovery@external.cisco.com> for the report, sample file (PoC)
and detailed analysis. See TALOS-2024-2121 and CVE-2024-52333.

Gbp-Pq: Name 0008-CVE-2024-52333.patch

Fixed issue rendering invalid monochrome image.

Forwarded: https://git.dcmtk.org/?p=dcmtk.git;a=commit;h=89a6e399f1e17d08a8bc8cdaa05b2ac9a50cd4f6
Bug-Debian: https://bugs.debian.org/1093043
Reviewed-By: Étienne Mollier <emollier@debian.org>
Last-Update: 2025-01-18

Fixed issue when rendering an invalid monochrome DICOM image where the
number of pixels stored does not match the expected number of pixels.
If the stored number is less than the expected number, the rest of the
pixel matrix for the intermediate representation was always filled with
the value 0. Under certain, very rare conditions, this could result in
memory problems reported by an Address Sanitizer (ASAN). Now, the rest
of the matrix is filled with the smallest possible value for the image.

Thanks to Emmanuel Tacheau from the Cisco Talos team
<vulndiscovery@external.cisco.com> for the original report, the sample
file (PoC) and further details. See TALOS-2024-2122 and CVE-2024-47796.

Gbp-Pq: Name 0007-CVE-2024-47796.patch

Remove version

Forwarded: not-needed
Bug-Debian: https://bugs.debian.org/1098944
Last-Update: 2025-03-21

Gbp-Pq: Name remove_version.patch

Don't add executables to cmake exports

Bug-Debian: https://bugs.debian.org/803304
Forwarded: not-needed

CMake exports are used by other packages that compile
and link against dcmtk. Because Debian moves some of
these executables and also dosn't install the test
executables, this import may fail leading to failure
to configure the according package.
===================================================================

Gbp-Pq: Name 07_dont_export_all_executables.patch

The original maintainer Jürgen Salk applied

Forwarded: not-needed

a set of patches to the original code.  This file contains
changes to C++ code

Gbp-Pq: Name 01_dcmtk_3.6.0-1.patch

dcmtk (3.6.9-5) unstable; urgency=medium

  * d/control: relax dependency on dcmtk-data. Closes: #1098944
  * 0012-CVE-2025-2357.patch: new: fix CVE-2025-2357. (Closes: #1100724)
  * documentation: Spring cleanups. Closes: #1095639

[dgit import unpatched dcmtk 3.6.9-5]

Import dcmtk_3.6.9-5.debian.tar.xz

[dgit import tarball dcmtk 3.6.9-5 dcmtk_3.6.9-5.debian.tar.xz]

Import dcmtk_3.6.9.orig.tar.gz

[dgit import orig dcmtk_3.6.9.orig.tar.gz]