Risques
- Déni de service
- Exécution de code arbitraire
Systèmes affectés
Toutes les versions de pnmtopng / pngtopnm antérieures à la version 2.39.
Résumé
Une vulnérabilité dans Netpbm permet à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire à distance sur la plate-forme vulnérable.
Description
Netpbm est un ensemble d'outils de conversions graphiques.
Plusieurs vulnérabilités de type débordement de mémoire dans l'outil
pnmtopng permettent à un utilisateur mal intentionné de réaliser un déni
de service ou d'exécuter du code arbitraire à distance au moyen d'un
fichier PNM malicieusement construit.
Solution
Mettre à jour pnmtopng / pngtopnm en version 2.39.
Dans tous les cas se référer au bulletin de sécurité de l'éditeur pour
l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Debian DSA-904 du 21 novembre 2005 http://www.debian.org/security/2005/dsa-904
- Bulletin de sécurité Mandriva MDKSA-2005:217 du 30 novembre 2005 : http://frontal2.mandriva.com/security/advisories?name=MDKSA-2005:217
- Bulletin de sécurité RedHat RHSA-2005:843 du 20 décembre 2005 : http://rhn.redhat.com/errata/RHSA-2005-843.html
- Site Internet de Netpbm : http://netpbm.sourceforge.net/
- Sortie de la nouvelle version de pnmtopng / pngtopnm : http://sourceforge.net/project/shownotes.php?release_id=370545