Avis du CERT-FR

Objet: Vulnérabilité dans libsvg

Gestion du document

Référence	CERTA-2011-AVI-502
Titre	Vulnérabilité dans libsvg
Date de la première version	12 septembre 2011
Date de la dernière version	12 septembre 2011
Source(s)	Rapport de bogue Gnome numéro 658014 du 01 septembre 2011

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance

Systèmes affectés

libsvg versions antérieures à la 2.34.1.

Résumé

Une vulnérabilité dans libsvg permet à une personne mal intentionnée d'exécuter du code arbitaire à distance ou de provoquer un déni de service.

Description

Une vulnérabilité dans libsvg, causée par une erreur de gestion du type « node », permet sous certaines conditions d'exécuter du code arbitaire à distance via une image SVG spécialement conçue.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Rapport de bogue Gnome numéro 658014 du 01 septembre 2011

http://bugzilla.gnome.org/show_bug.cgi?id=658014

Référence CVE CVE-2011-3146

https://www.cve.org/CVERecord?id=CVE-2011-3146

Gestion détaillée du document

le 12 septembre 2011: version initiale.