Vulnérabilité dans libpng

Gestion du document

Référence	CERTA-2006-AVI-506-001
Titre	Vulnérabilité dans libpng
Date de la première version	17 novembre 2006
Date de la dernière version	17 novembre 2006
Source(s)	Alerte de sécurité sur le site de libpng
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Déni de service.

Systèmes affectés

libpng versions 1.0.6 à 1.2.12 et version 1.0.20.

Description

Une vulnérabilité a été découverte dans la fonction png_set_sPLT() de la bibliothèque libpng. L'exploitation de cette vulnérabilité peut provoquer un arrêt brutal de l'application utilisant cette bibliothèque.

Solution

Installer la version 1.2.13 ou 1.0.21.

Documentation

Alerte de sécurité de libpng :

http://www.libpng.org/pub/png/libpng.html

Bulletin de sécurité Gentoo GLSA-200611-09 du 17 novembre 2006 :
```
http://www.gentoo.org/security/en/glsa/glsa-200611-09.xml
```
Bulletin de sécurité Mandriva MDKSA-2006:209 du 16 novembre 2006 :
```
http://www.mandriva.com/security/advisories?name=MDKSA-2006:209
```
Bulletin de sécurité RedHat RHSA-2007:0356 du 17 mai 2007 :
```
http://rhn.redhat.com/errata/RHSA-2007-0356.html
```

Bulletin de sécurité SuSE SUSE-SR:2006:028 du 08 décembre 2006 :

http://lists.suse.com/archive/suse-security-announce/2006-Dec/0002.html

Bulletin de sécurité Ubuntu USN-383-1 du 16 novembre 2006 :
```
http://www.ubuntu.com/usn/usn-383-1
```

Référence CVE CVE-2006-5793 :

https://www.cve.org/CVERecord?id=CVE-2006-5793

Gestion détaillée du document

le 01 juin 2006: ajout des références aux bulletins de sécurité Gentoo, Mandriva, Red Hat, SuSE, Ubuntu.

le 17 novembre 2006: version initiale.

Avis du CERT-FR

Objet: Vulnérabilité dans libpng