Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Toutes les versions antérieures à la 1.0.43 ;
- toutes les versions antérieures à la 1.2.35.
Résumé
Une vulnérabilité dans libpng permet à une personne malintentionnée d'exécuter du code arbitraire à distance.
Description
Une erreur dans la gestion des tableaux de pointeur de libpng permet à une personne malveillante d'exécuter du code arbitraire à distance via un fichier PNG spécialement construit.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité du projet libpng http://downloads.sourceforge.net/libpng/libpng-1.2.34-ADVISORY.txt
- Bulletin de sécurité Gentoo GLSA-200804-15 du 15 avril 2008 : http://www.gentoo.org/security/en/glsa/glsa-200804-15.xml
- Bulletin de sécurité Red Hat RHSA-2009:0333 du 04 mars 2009 : http://rhn.redhat.com/errata/RHSA-2009-0333.html
- Bulletin de sécurité Red Hat RHSA-2009:0340 du 04 mars 2009 : http://rhn.redhat.com/errata/RHSA-2009-0340.html
- Bulletin de sécurité SuSE SuSE-SR:2009:005 du 02 mars 2009 : http://lists.opensuse.org/opensuse-security-announce/2009-03/msg00000.html
- Bulletin de sécurité Sun Solaris du 28 mai 2009 : http://sunsolve.sun.com/search/document.do?assetkey=1-66-259989-1
- Bulletin de sécurité VMware VMSA-2009-0007 : http://www.vmware.com/security/advisories/VMSA-2009-0007.html
- Site de téléchargement du projet libpng : http://sourceforge.net/projects/libpng
- Référence CVE CVE-2009-0040 https://www.cve.org/CVERecord?id=CVE-2009-0040
