Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
CDF versions 3.2.4 et antérieures.
Résumé
Plusieurs vulnérabilités présentes dans le produit Common Data Format (CDF) permettent à un utilisateur distant de provoquer un déni de service ou d'exécuter du code arbitraire.
Description
Commin Data Format (CDF) est un logiciel en sources ouvertes fourni par la NASA pour manipuler les fichiers au format homonyme. CDF peut être utilisé avec des logiciels comme MatLab pour des opérations particulières.
Deux vulnérabilités sont présentes dans le logiciel CDF. Elles sont relatives à plusieurs fonctions comme ReadAEDRList64(), SearchForRecord_r_64(), LastRecord64() ou CDFsel64(). Ces failles permettent à un utilisateur distant de provoquer un déni de service ou d'exécuter du code arbitraire via un fichier CDF particulier.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
La version 3.3 de CDF corrige le problème :
Documentation
- Bulletin de sécurité sur CDF de la NASA http://cdf.gsfc.nasa.gov/html/CDF_v330.html
- Site de CDF : http://cdf.gsfc.nasa.gov
