Risques

  • Déni de service
  • Exécution de code arbitraire à distance

Systèmes affectés

  • giflib 4.1.3 et versions antérieures.
  • libungif 4.1.3 et versions antérieures ;

Résumé

Deux vulnérabilités affectant les bibliothèques libungif et giflib permettent à un utilisateur distant mal intentionné de provoquer un déni de service ou d'exécuter du code arbitraire.

Description

Les bibliothèques libungif et giflib permettent le traitement des fichiers images au format gif.

  • Une vulnérabilité dans la gestion des pointeurs peut être exploitée via un fichier image au format gif afin de provoquer à distance l'arrêt brutal de l'application ;
  • une vulnérabilité de type débordement de mémoire permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance au moyen d'un fichier image au format gif malicieusement construit.

Solution

Mettre à jour la bibliothèque libungif en passant à la version 4.1.4 disponible à l'adresse suivante :

http://sourceforge.net/project/showfiles.php?group_id=102202&package_id=109698

Mettre à jour la bibliothèque giflib en passant à la version 4.1.4 disponible à l'adresse suivante :

http://sourceforge.net/project/showfiles.php?group_id=102202&package_id=119585

Se référer aux bulletins de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).

Documentation