SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection Référence Secunia : SA20783 Risque : Moyennement Critique. Niveau 3 sur 5.  Impact : DoS Lieu : A distance Solutions : Correctif de l'éditeur Produit : GnuPG / gpg 1.4.x Référence CVE : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3082 Description : Une vulnérabilité a été rapportée dans GnuPG, qui pourrait être exploitée par des personnes malintentionnées pour causer un Déni de Service (DoS). La vulnérabilité est causée du fait d'une erreur de validation d'entrée dans "parse-packet.c" lors du traitement de la longueur d'un message packet. Cela pourrait être exploité pour entrainer gpg à consommer une grande quantité de mémoire ou planter via une longueur de paquet extrêmement grande dans un paquet message. Cela peut être par la suite exploitée pour entrainer un dépassement de capacité de type "integer overflow" qui conduit à une possible corruption de la mémoire qui plante gpg. L'exploitation de ce problème est possible seulement si l'option "--no-armor" est utilisé. La vulnérabilité a été rapportée en version 1.4.3 et dans la version de développement 1.9.20. Les versions précédentes pourraient également être affectées. Solutions : La vulnérabilité a été corrigée dans le CVS. Vulnérabilité découverte par : Evgeny Legerov Référence : http://seclists.org/lists/fulldisclosure/2006/May/0774.html http://cvs.gnupg.org/cgi-bin/viewcvs.cgi/trunk/g10/parse-packet.c?rev=4157&r1=4141&r2=4157 Veuillez noter : L'information, sur laquelle est basé ce bulletin Secunia, provient d'un tiers sans mention du contraire. Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs. |
SECURINFOS
|
|