Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
- libpng versions antérieures à 1.4.3 (branche 1.4.x) ;
- libpng versions antérieures à 1.2.44 (bhttp://rhn.redhat.com/errata/RHSA-2010-0534.htmlranche 1.2.x).
Les applications utilisant cette bibliothèque peuvent être vulnérables.
Résumé
De multiples vulnérabilités dans la bibliothèque libpng permettent, entre autres, l'exécution de code arbitraire à distance.
Description
De multiples vulnérabilités ont été identifiées dans la bibliothèque libpng. Leur exploitation permet à une personne malintentionnée d'exécuter du code arbitraire à distance, ou de provoquer un déni de service à distance (arrêt inopiné de l'application).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Notes de version libpng http://www.libpng.org/pub/png/libpng.html
- Bulletin de sécurité Debian DSA-2072 du 19 juillet 2010 : http://www.debian.org/security/2010/dsa-2072
- Bulletin de sécurité Mandriva MDVSA-2010:133 du 15 juillet 2010 : http://www.mandriva.com/en/security/advisories?name=MDVSA-2010:133
- Bulletin de sécurité RedHat RHSA-2010:0534-1 du 14 juillet 2010 : http://rhn.redhat.com/errata/RHSA-2010-0534.html
- Bulletin de sécurité Ubuntu du 08 juillet 2010 : http://www.ubuntu.com/usn/usn-960-1
- Référence CVE CVE-2010-1205 https://www.cve.org/CVERecord?id=CVE-2010-1205
- Référence CVE CVE-2010-2249 https://www.cve.org/CVERecord?id=CVE-2010-2249
