Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

libpng : Vulnérabilités Diverses

22/01/2007 01H06
Référence Secunia : SA12219 
Date de publication : 2004-08-05
Dernière mise à jour : 2004-08-16

Risque : Elevé. Niveau 4 sur 5.
Impact : DoS, Accès au système
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
libpng 1.x

Référence CVE :
CVE-2004-0599


Description :
Chris Evans a découvert différentes vulnérabilités dans libpng, qui pourraient être exploitées par des personnes malintentionnées afin de compromettre un système vulnérable ou causer un Déni de Service (DoS).

Les vulnérabilités sont causées du fait d'erreurs de déréférence de pointeur NULL et erreurs de limites dans diverses fonctions lors du traitement de fichiers PNG. Quelques de ces pourrait être exploitée pour entrainer des débordements de la pile (stack overflows) via specially crafted fichiers PNG.

Les vulnérabilités peut par ex. être exploité en incitant un utilisateur à visiter un site web malicieux ou voir un courriel malicieux avec un affectée application linked à libpng.


Solutions :
Mettre à jour en version 1.2.6.
http://www.libpng.org/pub/png/libpng.html


Vulnérabilité découverte par :

Chris Evans
Historique :
2004-08-16: Section "Solution" mise à jour.

Référence :
libpng:
http://www.libpng.org/pub/png/libpng.html

Chris Evans:
http://scary.beasts.org/security/CESA-2004-001.txt


Autres références :

US-CERT VU#
http://www.kb.cert.org/vuls/id/388984

US-CERT VU#
http://www.kb.cert.org/vuls/id/160448

US-CERT VU#
http://www.kb.cert.org/vuls/id/236656

US-CERT VU#
http://www.kb.cert.org/vuls/id/286464

US-CERT VU#
http://www.kb.cert.org/vuls/id/477512

US-CERT VU#
http://www.kb.cert.org/vuls/id/817368






Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.