Risque
- Exécution de code arbitraire à distance ;
- deni de service.
Systèmes affectés
Les versions de la bibliothèque zlib / libz antérieures à la 1.1.4.
Résumé
Une vulnérabilité de type « débordement de mémoire » présente dans la librairie zlib / libz permet à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire en local ou à distance.
Description
La librairie zlib / libz est utilisée pour la compression et la décompression de données par un grand nombre d'applications.
Un débordement de mémoire présent dans la routine de décompression permet à un utilisateur mal intentionné d'exécuter du code arbitraire ou de réaliser un déni de service. Cette vulnérabilité est due à un double appel de la fonction de libération de la mémoire : la fonction free.
Beaucoup d'applications utilisent cette bibliothèque « dynamiquement » mais certaines applications ont leur propre version de cette bibliothèque. Il est alors nécessaire de mettre à jour ces applications. Les applications concernées sont (se référer à la section documentation) :
- amaya
- dictd
- erlang
- freeamp
- mirrordir
- ppp
- rsync
- vrweb
- gpg
- cvs
- rrdtool
- netscape
- vnc
- kernel
- rpm
Solution
Installer la version 1.1.4 de la bibliotèque zlib / libz. Installer les versions corrigées des logiciels citées ci-dessus (se référer à la section documentation).
Documentation
- Avis de sécurité RHSA-2002:027 de Redhat :
http://www.redhat.com/support/errata/RHSA-2002-027.html
- Avis de sécurité SuSE-SA:2002:010 :
http://www.suse.com/us/support/security/
- Site officiel d'amaya
http://www.w3c.org/Amaya
- Site officiel de dictd
http://www.dict.org
- Site officiel de erlang
http://www.erlang.org
- Site officiel de freeamp
http://www.freeamp.org
- Site officiel de mirrordir
http://mirrordir.sourceforge.net
- Site officiel de ppp
http://www.samba.org/ppp
- Site officiel de rsync
http://www.rsync.org
- Site officiel de vrweb
http://www.iicm.edu/vrweb
- Site officiel de gpg
http://www.gnupg.org
- Site officiel de cvs
http://www.cvshome.org
- Site officiel de rrdtool
http://people.ee.ethz.ch/~oetiker/webtools/rrdttool
- Site officiel de netscape
http://www.netscape.com
- Site officiel de vnc
http://www.uk.research.att.com/vnc/
- Site officiel du kernel
http://www.kernel.org
- Site officiel de rpm
http://www.rpm.org