S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 12 mars 2002
N° CERTA-2002-AVI-052
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans la librairie <TT>zlib / libz</TT>

Gestion du document

Référence CERTA-2002-AVI-052
Titre Vulnérabilité dans la librairie <TT>zlib / libz</TT>
Date de la première version12 mars 2002
Date de la dernière version12 mars 2002
Source(s) Bulletin de sécurité SA:2002:010 de SuSE
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Déni de service
  • Exécution de code arbitraire à distance

Systèmes affectés

Les versions de la bibliothèque zlib / libz antérieures à la 1.1.4.

Résumé

Une vulnérabilité de type « débordement de mémoire » présente dans la librairie zlib / libz permet à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire en local ou à distance.

Description

La librairie zlib / libz est utilisée pour la compression et la décompression de données par un grand nombre d'applications.

Un débordement de mémoire présent dans la routine de décompression permet à un utilisateur mal intentionné d'exécuter du code arbitraire ou de réaliser un déni de service. Cette vulnérabilité est due à un double appel de la fonction de libération de la mémoire : la fonction free.

Beaucoup d'applications utilisent cette bibliothèque « dynamiquement » mais certaines applications ont leur propre version de cette bibliothèque. Il est alors nécessaire de mettre à jour ces applications. Les applications concernées sont (se référer à la section documentation) :

  • amaya
  • dictd
  • erlang
  • freeamp
  • mirrordir
  • ppp
  • rsync
  • vrweb
  • gpg
  • cvs
  • rrdtool
  • netscape
  • vnc
  • kernel
  • rpm

Solution

Installer la version 1.1.4 de la bibliotèque zlib / libz. Installer les versions corrigées des logiciels citées ci-dessus (se référer à la section documentation).

Documentation

Gestion détaillée du document

    le 12 mars 2002
    version initiale.