S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 19 octobre 2005
N° CERTA-2005-AVI-415
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de NetPBM

Gestion du document

Référence CERTA-2005-AVI-415
Titre Vulnérabilité de NetPBM
Date de la première version19 octobre 2005
Date de la dernière version19 octobre 2005
Source(s) Avis Redhat RHSA-2005:783-6
CVE : CAN-2005-2978
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire

Systèmes affectés

L'exécutable pnmtopng du logiciel NetPBM.

Description

NetPBM est une bibliothèque de fonctions destinées à manipuler des images dans les formats .pbm, .pgm, .pnm, .ppm, ...

L'application pnmtopng, qui convertit une image encodée dans le format PNM (Portable Anymap) au format PNG (Portable Network Graphics, est vulnérable. Un utilisateur mal intentionné peut exécuter du code arbitraire lorsque ce programme est lancé d'une façon astucieuse.

Contournement provisoire

Ne pas utiliser pnmtopng sur des fichiers dont on n'est pas sûrs.

Solution

Appliquer le correctif de sécurité (cf. section6).

Documentation

Gestion détaillée du document

    le 19 octobre 2005
    version initiale.