Risque
- Exécution de code arbitraire à distance
Systèmes affectés
gzip dans les versions 1.3.5 et versions antérieures.
Résumé
Le produit de compression de fichiers gzip contient de multiples vulnérabilités permettant à un malveillant d'exécuter du code arbitraire.
Description
Ces vulnérablités permettent l'exécution de commandes arbitraires, modifiant, lors de la décompression, les permissions attribuées à un fichier ou encore installant ces fichiers décompressés, de façon arbitraire dans le système de fichiers.
Solution
Tous les utilisateurs de gzip doivent mettre à jour leur logiciel de compression.
Documentation
- Bulettin de sécurité Gentoo GLSA 200505-05 du 09 mai 2005 : http://www.gentoo.org/security/en/glsa/glsa-200505-05.xml
- Bulletin de sécurité Avaya ASA-2005-172 du 29 août 2005 : http://support.avaya.com/elmodocs2/security/ASA-2005-172.pdf
- Bulletin de sécurité Debian DSA-752 du 11 juillet 2005 : http://www.debian.org/security/2005/dsa-752
- Bulletin de sécurité FreeBSD SA-05:11 du 09 juin 2005 : ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-05:11.gzip.asc
- Bulletin de sécurité Mandriva MDKSA-2005:092 du 18 mai 2005 : http://www.mandriva.com/security/advisories?name=MDKSA-2005:092
- Bulletin de sécurité RedHat RHSA-2005:357 du 13 juin 2005 : http://rhn.redhat.com/errata/RHSA-2005-357.html
- Bulletin de sécurité Sun #101816 du 20 juillet 2005 : http://sunsolve.sun.com/search/document.do.assetkey=1-26-101816-1
- Site Internet de gzip : http://www.gzip.org/
