Multiples vulnérabilités dans le paquetage Netpbm

Gestion du document

Référence	CERTA-2003-AVI-061-001
Titre	Multiples vulnérabilités dans le paquetage Netpbm
Date de la première version	26 mars 2003
Date de la dernière version	04 avril 2003
Source(s)	Bulletin de sécurité DSA-263 de Debian Bulletin de sécurité MDKSA-2003:036 de Mandrake
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de code arbitraire ;
déni de service.

Systèmes affectés

Versions de Netpbm antérieures ou égales à 10.14.

Résumé

De multiples vulnérabilités ont été découvertes dans le paquetage Netpbm.

Description

Netpbm est un paquetage comprenant une bibliothèque et des outils utilisés pour la manipulation d'images de différents formats.

De multiples vulnérabilités de type débordement de mémoire sont présentes dans le paquetage Netpbm.

Au moyen d'une image habilement constituée, un utilisateur mal intentionné peut exploiter ces vulnérabilités à travers une application utilisant ce paquetage afin d'exécuter du code arbitraire ou réaliser un déni de service.

Solution

Appliquer le correctif selon l'éditeur :

Bulletin de sécurité DSA-263 "netpbm-free - math overflow errors" de Debian :
```
http://www.debian.org/security/2003/dsa-263
```

Bulletin de sécurité MDKSA-2003:036 "netpbm" de Mandrake :

http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:036

Bulletin de sécurité RHSA-2003:060 de Red Hat :

http://rhn.redhat.com/errata/RHSA-2003-060.html

Bulletin de sécurité RHSA-2003:061 de Red Hat :

http://rhn.redhat.com/errata/RHSA-2003-061.html

Documentation

Document "Arithmetic overflows in Netpbm" sur le site de Netpbm :
```
http://netpbm.sourceforge.net/overflow.html
```

Référence CVE CAN-2003-0146 :

https://www.cve.org/CVERecord?id=CAN-2003-0146

Gestion détaillée du document

le 26 mars 2003: version initiale.

le 04 avril 2003: ajout références aux bulletins de sécurité de Red Hat.

Avis du CERT-FR

Objet: Multiples vulnérabilités dans le paquetage Netpbm