Vulnérabilité dans imlib2

Gestion du document

Référence	CERTA-2008-AVI-575
Titre	Vulnérabilité dans imlib2
Date de la première version	03 décembre 2008
Date de la dernière version	03 décembre 2008
Source(s)	Aucune Pièce(s) jointe(s)
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de code arbitraire à distance ;
déni de service à distance.

Systèmes affectés

imlib2 1.4.2 et versions antérieures.

Résumé

Une vulnérabilité dans la bibliothèque imlib2 permet à une personne malintentionnée distante de provoquer un déni de service ou potentiellement d'exécuter du code arbitraire.

Description

Une vulnérabilité de type débordement de mémoire a été corrigée dans la fonction load() utilisée pour le chargement de fichiers XPM dans imlib2. L'exploitation de cette vulnérabilité via un fichier spécialement conçu permet à une personne malintentionnée distante de provoquer un déni de service ou potentiellement d'exécuter du code arbitraire sur une application utilisant cette bibliothèque.

Solution

Se référer aux bulletins de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Debian DSA 1672 du 29 novembre 2008 :
```
http://www.debian.org/security/2008/dsa-1672
```
Bulletin de sécurité Ubuntu 683-1 du 02 décembre 2008 :
```
http://www.ubuntu.com/usn/USN-683-1
```

Bulletin de sécurité Fedora 8 FEDORA-2008-10296 du 26 novembre 2008 :

http://www.redhat.com/archives/fedora-package-announce/2008-November/msg00858.html

Bulletin de sécurité Fedora 9 FEDORA-2008-10287 du 26 novembre 2008 :

http://www.redhat.com/archives/fedora-package-announce/2008-November/msg00856.html

Bulletin de sécurité Fedora 10 FEDORA-2008-10364 du 26 novembre 2008 :

http://www.redhat.com/archives/fedora-package-announce/2008-November/msg00906.html

Référence CVE CVE-2008-5187 :

https://www.cve.org/CVERecord?id=CVE-2008-5187

Avis du CERT-FR

Objet: Vulnérabilité dans imlib2