Avis du CERT-FR

Objet: Vulnérabilité de NetPBM

Gestion du document

Référence	CERTA-2005-AVI-415
Titre	Vulnérabilité de NetPBM
Date de la première version	19 octobre 2005
Date de la dernière version	19 octobre 2005
Source(s)	Avis Redhat RHSA-2005:783-6 CVE : CAN-2005-2978
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire

Systèmes affectés

L'exécutable pnmtopng du logiciel NetPBM.

Description

NetPBM est une bibliothèque de fonctions destinées à manipuler des images dans les formats .pbm, .pgm, .pnm, .ppm, ...

L'application pnmtopng, qui convertit une image encodée dans le format PNM (Portable Anymap) au format PNG (Portable Network Graphics, est vulnérable. Un utilisateur mal intentionné peut exécuter du code arbitraire lorsque ce programme est lancé d'une façon astucieuse.

Contournement provisoire

Ne pas utiliser pnmtopng sur des fichiers dont on n'est pas sûrs.

Solution

Appliquer le correctif de sécurité (cf. section6).

Documentation

Avis de sécurité RedHat :

http://rhn.redhat.com/errata/RHSA-2005-793.html

;

Référence CVE :

https://www.cve.org/CVERecord?id=CAN-2005-2978

Gestion détaillée du document

le 19 octobre 2005: version initiale.