Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

gd versions 2.0.28 et antérieures.

Description

gd est une bibliothèque graphique utilisée pour la manipulation d'images de différents formats (GIF, JPEG, PNG, ...).

Une vulnérabilité de type débordement de mémoire est présente dans une routine réalisant le chargement des images au format PNG.

Au moyen d'une image au format PNG habilement constituée, cette vulnérabilité peut être exploitée par un utilisateur mal intentionné afin d'exécuter du code arbitraire via une application utilisant la bibliothèque vulnérable.

Solution

La version 2.0.29 de la bibliothèque gd corrige cette vulnérabilité.

Se référer aux bulletins de sécurité de l'éditeur (cf. section Documentation) pour l'obtention des correctifs.

Documentation