Risque
- Déni de service à distance
Systèmes affectés
libpng versions 1.2.21 et versions antérieures.
Résumé
De multiples vulnérabilités découvertes dans libpng permettent à un utilisateur malveillant d'effectuer un déni de service à distance.
Description
Plusieurs vulnérabilités affectent la librairie libpng :
- une erreur dans la fonction de manipulation de profil peut être exploitée afin de provoquer un dysfonctionnement de l'application utilisant cette bibliothèque ;
- une erreur lors d'une mauvaise utilisation de la fonction sizeof() permet d'engendrer un dysfonctionnement de l'application utilisant cette bibliothèque ;
- des erreurs dans les opérations mal contrôlées d'écriture de plusieurs fonctions peuvent être exploitées pour obtenir un dysfontionnement de l'application utilisant cette bibliothèque.
Solution
Se référer au bulletin de sécurité sur le site du projet pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Gentoo GLSA-200711-08 du 07 novembre 2007 : http://www.gentoo.org/security/en/glsa/glsa-200711-08.xml
- Bulletin de sécurité Red Hat RHSA-2007:0992 du 23 octobre 2007 : http://rhn.redhat.com/errata/RHSA-2007-0992.html
- Bulletin de sécurité Ubuntu USN-538-1 du 25 octobre 2007 : http://www.ubuntu.com/usn/usn-538-1
- Le site officiel du projet libpng : http://www.libpng.org/pub/png/libpng.html
- Référence CVE CVE-2007-5266 https://www.cve.org/CVERecord?id=CVE-2007-5266
- Référence CVE CVE-2007-5268 https://www.cve.org/CVERecord?id=CVE-2007-5268
- Référence CVE CVE-2007-5269 https://www.cve.org/CVERecord?id=CVE-2007-5269
