Risque
Exécution de code arbitraire à distance.
Systèmes affectés
- gzip pour Debian (voir bulletin de l'éditeur) ;
- gzip pour Red Hat (voir bulletin de l'éditeur) ;
- gzip pour Ubuntu (voir bulletin de l'éditeur) ;
- gzip pour Mandriva (voir bulletin de l'éditeur) ;
- GNU gzip (voir bulletin de l'éditeur).
Résumé
Deux vulnérabilités dans gzip permettent l'exécution de code arbitraire à distance.
Description
- Une vulnérabilité dans la décompression des blocs de données Huffman permet l'exécution de code arbitraire à distance ;
- une vulnérabilité liée à un débordement d'entier lors de la décompression de données compressées via l'algorithme Lempel-Ziv-Welch (LZW) permet l'exécution de code arbitraire à distance.
Solution
Se référer au bulletin de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Debian DSA-1974-1 du 20 janvier 2010 :
http://www.debian.org/security/2010/dsa-1974
- Bulletin de sécurité Mandriva MDVSA-2010:019 du 20 janvier 2010 :
http://www.mandriva.com/archives/security/advisories?name=MDVSA-2010:019
- Bulletin de sécurité Mandriva MDVSA-2010:020 du 20 janvier 2010 :
http://www.mandriva.com/archives/security/advisories?name=MDVSA-2010:020
- Bulletin de sécurité RedHat RHSA-2010:0061 du 20 janvier 2010 :
http://rhn.redhat.com/errata/RHSA-2010-0061.html
- Bulletin de sécurité Ubuntu USN-889-1 du 20 janvier 2010 :
http://www.ubuntulinux.org/usn/usn-889-1
- Information de sécurité GNU :
http://savannah.gnu.org/forum/forum.php?forum_id=6153
- Référence CVE CVE-2009-2624 :
https://www.cve.org/CVERecord?id=CVE-2009-2624
- Référence CVE CVE-2010-0001 :
https://www.cve.org/CVERecord?id=CVE-2010-0001