S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 26 mars 2003
N° CERTA-2003-AVI-061
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans le paquetage Netpbm

Gestion du document

Référence CERTA-2003-AVI-061
Titre Multiples vulnérabilités dans le paquetage Netpbm
Date de la première version26 mars 2003
Date de la dernière version04 avril 2003
Source(s) Bulletin de sécurité DSA-263 de Debian
Bulletin de sécurité MDKSA-2003:036 de Mandrake

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Déni de service
  • Exécution de code arbitraire

Systèmes affectés

Versions de Netpbm antérieures ou égales à 10.14.

Résumé

De multiples vulnérabilités ont été découvertes dans le paquetage Netpbm.

Description

Netpbm est un paquetage comprenant une bibliothèque et des outils utilisés pour la manipulation d'images de différents formats.

De multiples vulnérabilités de type débordement de mémoire sont présentes dans le paquetage Netpbm.

Au moyen d'une image habilement constituée, un utilisateur mal intentionné peut exploiter ces vulnérabilités à travers une application utilisant ce paquetage afin d'exécuter du code arbitraire ou réaliser un déni de service.

Solution

Appliquer le correctif selon l'éditeur :

  • Bulletin de sécurité DSA-263 "netpbm-free - math overflow errors" de Debian :

    http://www.debian.org/security/2003/dsa-263

  • Bulletin de sécurité MDKSA-2003:036 "netpbm" de Mandrake :

    http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:036

  • Bulletin de sécurité RHSA-2003:060 de Red Hat :

    http://rhn.redhat.com/errata/RHSA-2003-060.html

  • Bulletin de sécurité RHSA-2003:061 de Red Hat :

    http://rhn.redhat.com/errata/RHSA-2003-061.html

Documentation

Gestion détaillée du document

    le 26 mars 2003
    version initiale.
    le 04 avril 2003
    ajout références aux bulletins de sécurité de Red Hat.