Risque
- Déni de service à distance
Systèmes affectés
Les versions de bzip2 antérieures à la 1.0.5.
Résumé
Le logiciel bzip2 contient une vulnérabilité liée à la bibliothèque bzlib.c.
Description
Le logiciel bzip2 est vulnérable à un débordement de mémoire permettant à une personne malintentionnée distante de provoquer un déni de service via une archive spécifiquement créée.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Avis de sécurité groupé du CERT Finlandais sur les vulnérabilités liées aux différents formats d'archive. (Paru le 17 mars 2008) http://www.cert.fi/haavoittuvuudet/joint-advisory-archive-formats.html
- Bulletin de mise à jour bzip2 1.0.5 du 10 décembre 2007 http://bzip2.org/CHANGES
- Bulletin de sécurité Gentoo GLSA-200804-02 du 02 avril 2008 : http://www.gentoo.org/security/en/glsa/glsa-200804-02.xml
- Bulletin de sécurité Mandriva MDVSA-2008:075 du 23 mars 2008 : http://www.mandriva.com/en/security/advisories?name=MDVSA-2008:075
- Bulletin de sécurité NetBSD #2008-044 du 26 avril 2008 : ftp://ftp.netbsd.org/pub/NetBSD/secuirty/advisories/NetBSD-SA2008-004.txt.asc
- Bulletin de sécurité Red Hat RHSA-2008:0893 du 16 septembre 2008 : http://rhn.redhat.com/errata/RHSA-2008-0893.html
- Bulletin de sécurité SuSE SUSE-SR:2008:11 du 09 mai 2008 : http://lists.opensuse.org/opensuse-security-announce/2008-05/msg00000.html
- Bulletin de sécurité Sun #241786 du 12 septembre 2008 : http://sunsolve.sun.com/search/document.do?assetkey=1-66-241786-1
- Bulletin de sécurité Ubuntu USN-590-1 24 mars 2008 : http://www.ubuntulinux.org/usn/usn-590-1
- Référence CVE CVE-2008-1372 https://www.cve.org/CVERecord?id=CVE-2008-1372
