Risques

  • Déni de service à distance
  • Exécution de code arbitraire à distance

Systèmes affectés

gzip 1.x.

Résumé

De multiples vulnérabilités découvertes dans gzip permettent à un utilisateur distant mal intentionné d'exécuter du code arbitraire ou de provoquer un déni de service.

Description

Trois vulnérabilités de type débordement de mémoire ont été découvertes dans les fonctions make_table() et build_tree(). Ces vulnérabilités peuvent être exploitées au moyen d'une archive compressée au format gzip afin de provoquer un déni de service et/ou d'exécuter du code arbitraire.

Une dernière vulnérabilité de type NULL pointer dans la fonction huft_build() permet à une personne malveillante de provoquer un déni de service à distance au moyen d'une archive compressée spécialement contruite.

Solution

Se référer aux bulletins de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).

Documentation