Risques
- Déni de service
- Exécution de code arbitraire
Systèmes affectés
Les versions de la bibliothèque de fonctions Imlib2 compilées à partir de sources antérieures à la version 1.2.0-2.2.
Description
Imlib2 est une bibliothèque de fonctions destinées à manipuler et afficher des images dans différents formats. Certaines applications dépendent de cette bibliothèque de fonction.
Des vulnérabilités affectent cette bibliothèque de fonctions. Elles peuvent être exploitées pour commettre un déni de service et potentiellement compromettre le système au travers des applications qui utilise cette bibliothèque.
Les vulnérabilités sont dûes à des erreurs dans le traitement d'images au format JPG, ARGB, PNG, LBM, PNM, TIFF et TGA.
L'exploitation peut être obtenue par un individu mal intentioné qui serait à même de convaincre une victime d'ouvrir une image astucieusement construite avec une application s'appuyant sur une version vulnérable de la bibliothèque.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- CVE-2006-4806 https://www.cve.org/CVERecord?id=CVE-2006-4806
- CVE-2006-4807 https://www.cve.org/CVERecord?id=CVE-2006-4807
- CVE-2006-4808 https://www.cve.org/CVERecord?id=CVE-2006-4808
- CVE-2006-4809 https://www.cve.org/CVERecord?id=CVE-2006-4809
- Bulletin de sécurité Gentoo GLSA-200612-20 du 20 décembre 2006 : http://www.gentoo.org/security/en/glsa/glsa-200612-20.xml
- Bulletin de sécurité Mandriva MDKSA-2006:198 du 06 novembre 2006 : http://wwwnew.mandriva.com/security/advisories?name=MDKSA-2006:198
- Bulletin de sécurité SuSE SUSE-SR:2006:026 du 17 novembre 2006 : http://lists.suse.com/archive/suse-security-announce/2006-Nov/0008.html
- Bulletin de sécurité Ubuntu USN-376-1 du 03 novembre 2006 : http://www.ubuntulinux.org/usn/usn-376-1
- Bulletin de sécurité Ubuntu USN-376-2 du 03 novembre 2006 : http://www.ubuntulinux.org/usn/usn-376-2
- Référence CVE CVE-2006-4806 https://www.cve.org/CVERecord?id=CVE-2006-4806
- Référence CVE CVE-2006-4807 https://www.cve.org/CVERecord?id=CVE-2006-4807
- Référence CVE CVE-2006-4808 https://www.cve.org/CVERecord?id=CVE-2006-4808
- Référence CVE CVE-2006-4809 https://www.cve.org/CVERecord?id=CVE-2006-4809