Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
libTIFF 3.x.
Toutes les applications faisant appel à la bibliothèque vulnérable sont affectées par ces vulnérabilités.
Description
Plusieurs vulnérabilités de type débordement de mémoire ont été découvertes dans la bibliothèque libTIFF. Ces vulnérabilités permettent à un utilisateur distant mal intentionné de provoquer un déni de service ou d'exécuter du code arbitraire. Un individu malveillant peut exploiter ces vulnérabilités au moyen d'une image au format TIFF (Tag Image File Format) spécialement conçue.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Ubuntu USN-330-1 du 02 août 2006 http://www.ubuntu.org/usn/usn-330-1
- Bulletin de sécurité Avaya ASA-2006-166 du 16 août 2006 : http://support.avaya.com/elmodocs2/security/ASA-2006-166.htm
- Bulletin de sécurité Debian DSA 1137 du 02 août 2006 : http://www.debian.org/security/2006/dsa-1137
- Bulletin de sécurité Gentoo GLSA 200608-07 du 04 août 2006 : http://www.gentoo.org/security/en/glsa/glsa-200608-07.xml
- Bulletin de sécurité Mandriva MDKSA-2006:137 du 01 août 2006 : http://www.mandriva.com/security/advisories?name=MDKSA-2006:137
- Bulletin de sécurité RedHat RHSA-2006:0603 du 02 août 2006 : http://rhn.redhat.com/errata/RHSA-2006-0603.html
- Bulletin de sécurité SUSE SuSE-SA:2006:044 du 01 août 2006 : http://lists.suse.com/archive/suse-security-announce/2006-Aug/0001.html
- Bulletin de sécurité Sun 103099 du 11 octobre 2007 : http://sunsolve.sun.com/search/document.do?assetkey=1-26-103099-1
- Référence CVE CVE-2006-3459 https://www.cve.org/CVERecord?id=CVE-2006-3459
- Référence CVE CVE-2006-3460 https://www.cve.org/CVERecord?id=CVE-2006-3460
- Référence CVE CVE-2006-3461 https://www.cve.org/CVERecord?id=CVE-2006-3461
- Référence CVE CVE-2006-3462 https://www.cve.org/CVERecord?id=CVE-2006-3462
- Référence CVE CVE-2006-3463 https://www.cve.org/CVERecord?id=CVE-2006-3463
- Référence CVE CVE-2006-3464 https://www.cve.org/CVERecord?id=CVE-2006-3464
- Référence CVE CVE-2006-3465 https://www.cve.org/CVERecord?id=CVE-2006-3465