Risque
- Déni de service ;
- exécution de code arbitraire.
Systèmes affectés
Toutes les versions de pnmtopng / pngtopnm antérieures à la version 2.39.
Résumé
Une vulnérabilité dans Netpbm permet à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire à distance sur la plate-forme vulnérable.
Description
Netpbm est un ensemble d'outils de conversions graphiques.
Plusieurs vulnérabilités de type débordement de mémoire dans l'outil pnmtopng permettent à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire à distance au moyen d'un fichier PNM malicieusement construit.
Solution
Mettre à jour pnmtopng / pngtopnm en version 2.39.
Dans tous les cas se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site Internet de Netpbm :
http://netpbm.sourceforge.net/
- Sortie de la nouvelle version de pnmtopng / pngtopnm :
http://sourceforge.net/project/shownotes.php?release_id=370545
- Bulletin de sécurité Debian DSA-904 du 21 novembre 2005 :
http://www.debian.org/security/2005/dsa-904
- Bulletin de sécurité Mandriva MDKSA-2005:217 du 30 novembre 2005 :
http://frontal2.mandriva.com/security/advisories?name=MDKSA-2005:217
- Bulletin de sécurité RedHat RHSA-2005:843 du 20 décembre 2005 :
http://rhn.redhat.com/errata/RHSA-2005-843.html
- Référence CVE CAN-2005-3632 :
https://www.cve.org/CVERecord?id=CAN-2005-3632
- Référence CVE CAN-2005-3662 :
https://www.cve.org/CVERecord?id=CAN-2005-3662