Premier Ministre

S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 07 novembre 2007

N° CERTA-2007-AVI-483

Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de Ghostscript

Gestion du document

Référence	CERTA-2007-AVI-483
Titre	Vulnérabilité de Ghostscript
Date de la première version	07 novembre 2007
Date de la dernière version	07 novembre 2007
Source(s)	CVE CVE-2007-2721
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Déni de service à distance

Systèmes affectés

Ghostscript 8.50.

Résumé

Une vulnérabilité dans la visualisation d'image permet à un utilisateur malveillant de provoquer un déni de service à distance.

Description

Le logiciel Ghostscript utilise un composante externe (JasPer) pour la visualisation des images JPEG. Une vulnérabilité de ce composant permet à un utilisateur malveillant de provoquer l'arrêt inopiné de Ghostscript.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

CVE CVE-2007-2721

https://www.cve.org/CVERecord?id=CVE-2007-2721

Bulletin de sécurité Mandriva MDKSA-2007:129 du 19 juin 2007 :

http://www.mandriva.com/archives/security/advisories

Bulletin de sécurité Ubuntu USN-501-2 du 22 octobre 2007 :

http://www.ubuntulinux.org/usn/usn-501-2

Rapport d'erreur Debian 413041 :

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=413041

Site de téléchargement de Ghostscript :

http://sourceforge.net/project/showfiles.php?group_id=1897&package_id=108733

Référence CVE CVE-2007-2721

https://www.cve.org/CVERecord?id=CVE-2007-2721

Gestion détaillée du document

le 07 novembre 2007: version initiale.