Risques

  • Déni de service
  • Exécution de code arbitraire à distance

Systèmes affectés

Les versions de la bibliothèque zlib / libz antérieures à la 1.1.4.

Résumé

Une vulnérabilité de type « débordement de mémoire » présente dans la librairie zlib / libz permet à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire en local ou à distance.

Description

La librairie zlib / libz est utilisée pour la compression et la décompression de données par un grand nombre d'applications.

Un débordement de mémoire présent dans la routine de décompression permet à un utilisateur mal intentionné d'exécuter du code arbitraire ou de réaliser un déni de service. Cette vulnérabilité est due à un double appel de la fonction de libération de la mémoire : la fonction free.

Beaucoup d'applications utilisent cette bibliothèque « dynamiquement » mais certaines applications ont leur propre version de cette bibliothèque. Il est alors nécessaire de mettre à jour ces applications. Les applications concernées sont (se référer à la section documentation) :

  • amaya
  • dictd
  • erlang
  • freeamp
  • mirrordir
  • ppp
  • rsync
  • vrweb
  • gpg
  • cvs
  • rrdtool
  • netscape
  • vnc
  • kernel
  • rpm

Solution

Installer la version 1.1.4 de la bibliotèque zlib / libz. Installer les versions corrigées des logiciels citées ci-dessus (se référer à la section documentation).

Documentation