Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Blender Command Line : Vulnérabilité de Dépassement de Tampon

22/01/2007 23H47
Référence Secunia : SA17013 
Date de publication : 2005-09-30
Dernière mise à jour : 2006-01-20

Risque : Moyennement Critique. Niveau 3 sur 5.
Impact : Accès au système
Lieu : A distance


Solutions :
Non corrigée


Produit :
Blender 2.x

Référence CVE :
CVE-2005-3151


Description :
Qnix a rapporté une vulnérabilité dans Blender, qui pourrait être exploitée par des personnes malintentionnées pour compromettre un système vulnérable.

La vulnérabilité est causée du fait d'une erreur de limitation dans "blender" et "blenderplayer" lors du traitement des entrées de ligne de commande. Cela pourrait être exploité pour causer un débordement de la pile (stack overflow) et peut permettre l'exécution de commandes arbitraires via un argument de ligne de commandes trop long. Sur la plateforme Windows, la vulnérabilité pourrait être exploité quand l'utilisateur suit un lien vers un ".blend" file avec un nom de fichier long dans le navigateur Internet Explorer et l'ouvre.

La vulnérabilité a été confirmée en version 2.37a. Les autres versions pourraient également être affectées.


Solutions :
Ne pas suivre de liens à ".blend" fichiers depuis le navigateur.


Vulnérabilité découverte par :

Qnix
Historique :
2006-01-20: Référence CVE ajoutée.


Veuillez noter : L'information sur laquelle ce bulletin de sécurité Secunia est basé provient d'un tiers sans mention du contraire.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.