Pngcrush - Dépassement de buffer

1. Bulletin de Sécurité Gentoo

Référence GLSA 200603-17 / pngcrush
Date de Parution 21 Mars 2006
Impact Normal
Exploitabilité Distante

2. Versions affectées

Package Vulnérables Non-affectées Architecture(s)
media-gfx/pngcrush < 1.6.2 >= 1.6.2 Toutes

3. Synopsis

Pngcrush est vulnérable à un dépassement de buffer pouvant être exploité pour causer l'exécution d'une portion de code arbitraire.

4. Informations

Pngcrush est un optimiseur pour fichiers PNG.

5. Description

Carsten Lohrke de l'équipe Gentoo Linux a reporté que Pngcrush contient une version vulnérable de la zlib (GLSA 200507-19).

6. Impact de la faille

En fournissant à Pngcrush un flux spécifiquement forgé, il est possible de causer l'exécution d'une portion de code arbitraire avec les permissions de l'utilisateur se servant de l'application.

7. Solution de contournement

Il n'existe aucune solution de contournement à l'heure actuelle.

8. Correction de la faille

Les utilisateurs de PngCrush doivent mettre à jour ce dernier.

Mise à jour PeerCast
# emerge --sync
# emerge --ask --oneshot --verbose ">=media-gfx/pngcrush-1.6.2"

9. Références

<<   gentoo |  Installer Gentoo |  Forum Gentoo |  Sécurité Gentoo   >>
PHP | Forum gentoo.fr