S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 26 mars 2003
N° CERTA-2003-AVI-060
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans la bibliothèque zlib

Gestion du document

Référence CERTA-2003-AVI-060
Titre Vulnérabilité dans la bibliothèque zlib
Date de la première version26 mars 2003
Date de la dernière version27 mars 2003
Source(s) Bulletin de sécurité Mandrake

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Déni de service
  • Exécution de code arbitraire à distance

Systèmes affectés

La bibliothèque zlib version 1.1.4.

Résumé

La bibliothèque zlib est utilisée pour la compression et la décompression de données par un grand nombre d'applications. Une vulnérabilité a été découverte dans l'une des fonctions de cette bibliothèque.

Description

Un débordement de mémoire présent dans la fonction gzprintf de la bibliothèque zlib permet à un individu mal intentionné d'effectuer un déni de service ou d'exécuter du code arbitraire à distance.

Solution

Appliquer les correctifs fournis correspondant à la plate-forme :

Bulletin de sécurité Mandrake :

http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:033

Bulletin de sécurité SCO :

ftp://ftp.sco.com/pub/security/OpenLinux/CSSA-2003-011.0.txt

Bulletin NetBSD :

ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2003-004.txt.asc

Gestion détaillée du document

    le 26 mars 2003
    version initiale.
    le 27 mars 2003
    ajout de l'avis NetBSD.