Risque
- Exécution de code arbitraire à distance ;
- déni de service.
Systèmes affectés
Libtiff 3.7.2 et versions antérieures.
Description
Libtiff est une bibliothèque pour le traitement des images au format TIFF (Tag Image File Format).
Une vulnérabilité de type débordement de mémoire est présente dans la bibliothèque libtiff.
En incitant un utilisateur à visualiser une image au format TIFF habilement constituée, cette vulnérabilité peut être exploitée afin d'exécuter du code arbitraire via une application utilisant la bibliothèque vulnérable.
Solution
Se référer aux bulletins de sécurité des éditeurs (cf. section Documentation) pour l'obtention des correctifs.
Documentation
- Bulletin de sécurité Gentoo GLSA 200505-07 du 10 mai 2005 :
http://www.gentoo.org/security/en/glsa/glsa-200505-07.xml
- Bulletin de sécurité SUSE SUSE-SR:2005:014 du 07 juin 2005 :
http://www.novell.com/linux/security/advisories/2005_14_sr.html
- Bulletin de sécurité Debian DSA-755 du 13 juillet 2005 :
http://www.debian.org/security/2005/dsa-755
- Bulletin de sécurité FreeBSD pour tiff et linux-tiff du 30 juillet 2005 :
http://www.vuxml.org/freebsd/pkg-tiff.html
http://www.vuxml.org/freebsd/pkg-linux-tiff.html
- Bulletin de sécurité SCO SCOSA-2006.3 du 03 janvier 2006 :
ftp://ftp.sco.com/pub/updates/OpenServer/SCOSA-2006.3/SCOSA-2006.3.txt
- Bulletin de sécurité Mandriva MDKSA-2006:042 du 17 février 2006 :
http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:042
- Référence CVE CAN-2005-1544 :
https://www.cve.org/CVERecord?id=CAN-2005-1544
