Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
Cairo versions 1.4.11 et antérieures.
Résumé
Une vulnérabilité dans Cairo permet à un utilisateur distant de provoquer un déni de service ou d'exécuter du code arbitraire à distance.
Description
Une vulnérabilité est présente dans la bibliothèque de fonctions d'affichage Cairo. Elle est relative à la mise en œuvre de l'affichage d'images au format PNG (Portable Network Graphics). Cette faille permet à un utilisateur distant de provoquer un déni de service de l'application utilisant Cairo ou l'exécution de code arbitraire. L'attaque peut être conduite à distance par le biais d'une image PNG construite de façon particulière.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Rapport d'erreur RedHat #387431 https://bugzilla.redhat.org/show_bug.cgi?id=387431
- Bulletin de sécurité Cairo du 27 novembre 2007 : http://cairographics.org/news/cairo-1.4.12
- Bulletin de sécurité RedHat RHSA-2007:1078 du 29 novembre 2007 : http://rhn.redhat.com/errata/RHSA-2007-1078.html
- Bulletin de sécurité Ubuntu USN-550-1 du 03 décembre 2007 : http://www.ubuntulinux.org/usn/usn-550-1
- Référence CVE CVE-2007-5503 https://www.cve.org/CVERecord?id=CVE-2007-5503
