S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 01 février 2002
N° CERTA-2002-AVI-019
Affaire suivie par: CERT-FR
le 01 février 2002

Avis du CERT-FR

Objet: Vulnérabilités de gzip

Gestion du document

Référence CERTA-2002-AVI-019
Titre Vulnérabilités de gzip
Date de la première version 01 février 2002
Date de la dernière version 01 février 2002
Source(s) Avis de Sécurité Mandrake MDKSA-2002:011
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Déni de service ;
  • élévation de privilèges.

Systèmes affectés

Utilitaire gzip version 1.2.4.

Résumé

Deux vulnérabilités de gzip permettent à un utilisateur mal intentionné de provoquer un déni de service ou d'éléver ses privilèges.

Description

L'utilitaire gzip est utilisé pour la compression.

Deux vulnérabilités sont présentes dans gzip.

La première provoque un déni de service si le fichier en entrée possède un nom supérieur à 1020 caractères.

La deuxième vulnérabilité est un dépassement de mémoire qui peut être exploitée si gzip est utilisé sur un serveur (un serveur FTP par exemple).

Solution

Contacter votre éditeur pour obtenir une mise à jour. Un correctif est disponible sur le site de gzip (cf. Documentation).

Documentation

Gestion détaillée du document

    le 01 février 2002
    version initiale.