Objet: Vulnérabilité dans libpng

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

• Toutes les versions antérieures à la 1.0.43 ;
• toutes les versions antérieures à la 1.2.35.

Résumé

Une vulnérabilité dans libpng permet à une personne malintentionnée d'exécuter du code arbitraire à distance.

Description

Une erreur dans la gestion des tableaux de pointeur de libpng permet à une personne malveillante d'exécuter du code arbitraire à distance via un fichier PNG spécialement construit.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Site de téléchargement du projet libpng :

  http://sourceforge.net/projects/libpng
  

• Bulletin de sécurité du projet libpng :

  http://downloads.sourceforge.net/libpng/libpng-1.2.34-ADVISORY.txt
  

• Bulletin de sécurité Gentoo GLSA-200804-15 du 15 avril 2008 :

  http://www.gentoo.org/security/en/glsa/glsa-200804-15.xml
  

• Bulletin de sécurité Red Hat RHSA-2009:0333 du 04 mars 2009 :

  http://rhn.redhat.com/errata/RHSA-2009-0333.html
  

• Bulletin de sécurité Red Hat RHSA-2009:0340 du 04 mars 2009 :

  http://rhn.redhat.com/errata/RHSA-2009-0340.html
  

• Bulletin de sécurité SuSE SuSE-SR:2009:005 du 02 mars 2009 :

  http://lists.opensuse.org/opensuse-security-announce/2009-03/msg00000.html
  

• Bulletin de sécurité VMware VMSA-2009-0007 :

  http://www.vmware.com/security/advisories/VMSA-2009-0007.html
  

• Bulletin de sécurité Sun Solaris du 28 mai 2009 :

  http://sunsolve.sun.com/search/document.do?assetkey=1-66-259989-1
  

• Référence CVE CVE-2009-0040 :

  https://www.cve.org/CVERecord?id=CVE-2009-0040