Risque
- Exécution de code arbitraire à distance ;
- déni de service.
Systèmes affectés
zlib versions 1.2.2 et antérieures.Résumé
Une vulnérabilité de la bibliothèque zlib permet à un utilisateur mal intentionné de provoquer un déni de service ou d'exécuter du code arbitraire à distance.
Description
Une vulnérabilité de type débordement de mémoire a été découverte dans la bibliothèque zlib. Cette vulnérabilité permet à un utilisateur mal intentionné, au moyen d'un flot de données compressées malicieusement construit, de provoquer un déni de service ou d'exécuter du code arbitraire à distance sur toute application utilisant la bibliothèque zlib.
Solution
Se référer au bulletin de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site Internet de zlib :
http://www.gzip.org/zlib/
- Bulletin de sécurité Gentoo GLSA 200507-05 du 06 juillet 2005 :
http://www.gentoo.org/security/en/glsa/glsa-200507-05.xml
- Bulletin de sécurité de FreeBSD du 06 juillet 2005 :
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-05:16.zlib.asc
- Bulletin de sécurité Debian DSA-740 du 06 juillet 2005 :
http://www.debian.org/security/2005/dsa-740
- Bulletin de sécurité SUSE SUSE-SA:2005:039 du 06 juillet 2005 :
http://www.novell.com/linux/security/advisories/2005_39_zlib.html
- Bulletin de sécurité RedHat RHSA-2005:569 du 06 juillet 2005 :
http://rhn.redhat.com/errata/RHSA-2005-569.html
- Bulletin de sécurité Mandriva MDKSA-2005:112 du 06 juillet 2005 :
http://www.mandriva.com/security/advisories?name=MDKSA-2005:112
- Bulletin de sécurité OpenBSD relatif à zlib du 06 juillet 2005 :
http://www.openbsd.org/errata.html#libz
http://www.openbsd.org/errata36.html#libz
- Bulletin de sécurité SUSE SUSE-SR:2005:017 du 13 juillet 2005 :
http://www.novell.com/linux/security/advisories/2005_17_sr.html
- Bulletin de sécurité Gentoo GLSA 200508-01 du 01 août 2005 :
http://www.gentoo.org/security/en/glsa/glsa-200508-01.xml
- Référence CVE CAN-2005-2096 :
https://www.cve.org/CVERecord?id=CAN-2005-2096
