Risque
- Déni de service.
- Exécution de code arbitraire à distance.
Systèmes affectés
gdk-pixbuf 0.22 et versions antérieures.Résumé
De multiples vulnérabilités présentes dans la bibliothèque gdk-pixbuf peuvent être exploitées par un utilisateur mal intentionné afin de réaliser un déni de service ou exécuter du code arbitraire à distance.
Description
gdk-pixbuf est une bibliothèque de traitement d'images utilisée dans l'environnement graphique GNOME.Des vulnérabilités sont présentes dans le traitement d'images de différents formats (BMP, XPM, ICO).
En incitant un utilisateur à visualiser une image habilement constituée, une personne mal intentionnée peut exploiter ces failles afin d'exécuter du code arbitraire à distance sur une plate-forme vulnérable.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Mandrake MDKSA-2004:095 du 15 septembre 2004 :
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:095
- Bulletin de sécurité Red Hat RHSA-2004:447 de Red Hat du 15 septembre 2004 :
http://rhn.redhat.com/errata/RHSA-2004-447.html
- Bulletin de sécurité Red Hat RHSA-2004:466 de Red Hat du 15 septembre 2004 :
http://rhn.redhat.com/errata/RHSA-2004-466.html
- Bulletin de sécurité Debian DSA-546 du 16 septembre 2004 :
http://www.debian.org/security/2004/dsa-546
- Bulletin de sécurité Debian DSA-549 du 17 septembre 2004 :
http://www.debian.org/security/2004/dsa-549
- Bulletin de sécurité SuSE SUSE-SA:2004:033 :
http://www.suse.de/de/security/2004_33_gtk2_gdk_pixbuf.html
- Bulletin de sécurité Gentoo GLSA 200409-28 du 21 septembre 2004 :
http://www.gentoo.org/security/en/glsa-200409-28.xml
- Bulletin de sécurité FreeBSD pour gdk-pixbuf du 15 septembre 2004 :
http://www.vuxml.org/freebsd/
- Bulletin de sécurité NetBSD pour gtk2+<2.4.10 :
ftp://ftp.netbsd.org/pub/NetBSD/packages/distfiles/vulnerabilities
Bulletin de sécurité Sun #101776 du 24 juin 2005 :
http://sunsolve.sun.com/search/document.do?assetkey=1-26-101776-1
- Référence CVE CAN-2004-0753 :
https://www.cve.org/CVERecord?id=CAN-2004-0753
- Référence CVE CAN-2004-0782 :
https://www.cve.org/CVERecord?id=CAN-2004-0782
- Référence CVE CAN-2004-0783 :
https://www.cve.org/CVERecord?id=CAN-2004-0783
- Référence CVE CAN-2004-0788 :
https://www.cve.org/CVERecord?id=CAN-2004-0788