Objet: Multiples vulnérabilités dans la bibliothèque libungif/giflib

Risque

• Déni de service ;
• exécution de code arbitraire à distance.

Systèmes affectés

• libungif 4.1.3 et versions antérieures ;
• giflib 4.1.3 et versions antérieures.

Résumé

Deux vulnérabilités affectant les bibliothèques libungif et giflib permettent à un utilisateur distant mal intentionné de provoquer un déni de service ou d'exécuter du code arbitraire.

Description

Les bibliothèques libungif et giflib permettent le traitement des fichiers images au format gif.

• Une vulnérabilité dans la gestion des pointeurs peut être exploitée via un fichier image au format gif afin de provoquer à distance l'arrêt brutal de l'application ;
• une vulnérabilité de type débordement de mémoire permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance au moyen d'un fichier image au format gif malicieusement construit.

Solution

Mettre à jour la bibliothèque libungif en passant à la version 4.1.4 disponible à l'adresse suivante :

http://sourceforge.net/project/showfiles.php?group_id=102202&package_id=109698

Mettre à jour la bibliothèque giflib en passant à la version 4.1.4 disponible à l'adresse suivante :

http://sourceforge.net/project/showfiles.php?group_id=102202&package_id=119585

Se référer aux bulletins de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité RedHat Bugzilla #17141 :

  https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=171413
  

• Bulletin de sécurité RedHat RHSA-2005-828 du 03 novembre 2005 :

  http://rhn.redhat.com/errata/RHSA-2005-828.html
  

• Bulletin de sécurité Gentoo GLSA 200511-03 du 04 novembre 2005 :

  http://www.gentoo.org/security/en/glsa/glsa-200511-03.xml
  

• Bulletin de sécurité Debian DSA-890 du 09 novembre 2005 :

  http://www.debian.org/security/2005/dsa-890
  

• Bulletin de sécurité Mandriva MDKSA-2005:207 du 09 novembre 2005 :

  http://www.mandriva.com/security/advisories?name=MDKSA-2005:207
  

• Bulletin de sécurité Ubuntu USN-214 du 07 novembre 2005 :

  http://lists.ubuntu.com/archives/ubuntu-security-announce/2005-November/000240.html
  

• Mise à jour de libungif pour Fedora Core 3 :

  http://download.fedora.redhat.com/pub/fedora/linux/core/updates/3/
  

• Mise à jour de libungif pour Fedora Core 4 :

  http://download.fedora.redhat.com/pub/fedora/linux/core/updates/4/
  

• Référence CVE CAN-2005-2974 :

  https://www.cve.org/CVERecord?id=CAN-2005-2974
  

• Référence CVE CAN-2005-3350 :

  https://www.cve.org/CVERecord?id=CAN-2005-3350