Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance.
Systèmes affectés
libTIFF 3.x.
Toutes les applications faisant appel à la bibliothèque vulnérable sont affectées par ces vulnérabilités.
Description
Plusieurs vulnérabilités de type débordement de mémoire ont été découvertes dans la bibliothèque libTIFF. Ces vulnérabilités permettent à un utilisateur distant mal intentionné de provoquer un déni de service ou d'exécuter du code arbitraire. Un individu malveillant peut exploiter ces vulnérabilités au moyen d'une image au format TIFF (Tag Image File Format) spécialement conçue.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Debian DSA 1137 du 02 août 2006 :
http://www.debian.org/security/2006/dsa-1137
- Bulletin de sécurité RedHat RHSA-2006:0603 du 02 août 2006 :
http://rhn.redhat.com/errata/RHSA-2006-0603.html
- Bulletin de sécurité SUSE SuSE-SA:2006:044 du 01 août 2006 :
http://lists.suse.com/archive/suse-security-announce/2006-Aug/0001.html
- Bulletin de sécurité Ubuntu USN-330-1 du 02 août 2006 :
http://www.ubuntu.org/usn/usn-330-1
- Bulletin de sécurité Gentoo GLSA 200608-07 du 04 août 2006 :
http://www.gentoo.org/security/en/glsa/glsa-200608-07.xml
- Bulletin de sécurité Mandriva MDKSA-2006:137 du 01 août 2006 :
http://www.mandriva.com/security/advisories?name=MDKSA-2006:137
- Bulletin de sécurité Avaya ASA-2006-166 du 16 août 2006 :
http://support.avaya.com/elmodocs2/security/ASA-2006-166.htm
- Bulletin de sécurité Sun 103099 du 11 octobre 2007 :
http://sunsolve.sun.com/search/document.do?assetkey=1-26-103099-1
- Référence CVE CVE-2006-3459 :
https://www.cve.org/CVERecord?id=CVE-2006-3459
- Référence CVE CVE-2006-3460 :
https://www.cve.org/CVERecord?id=CVE-2006-3460
- Référence CVE CVE-2006-3461 :
https://www.cve.org/CVERecord?id=CVE-2006-3461
- Référence CVE CVE-2006-3462 :
https://www.cve.org/CVERecord?id=CVE-2006-3462
- Référence CVE CVE-2006-3463 :
https://www.cve.org/CVERecord?id=CVE-2006-3463
- Référence CVE CVE-2006-3464 :
https://www.cve.org/CVERecord?id=CVE-2006-3464
- Référence CVE CVE-2006-3465 :
https://www.cve.org/CVERecord?id=CVE-2006-3465