Vulnerability-Lookup

CERTA-2005-AVI-440

Vulnerability from certfr_avis - Published: - Updated:

Deux vulnérabilités affectant les bibliothèques libungif et giflib permettent à un utilisateur distant mal intentionné de provoquer un déni de service ou d'exécuter du code arbitraire.

Description

Les bibliothèques libungif et giflib permettent le traitement des fichiers images au format gif.

Une vulnérabilité dans la gestion des pointeurs peut être exploitée via un fichier image au format gif afin de provoquer à distance l'arrêt brutal de l'application ;
une vulnérabilité de type débordement de mémoire permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance au moyen d'un fichier image au format gif malicieusement construit.

Solution

Mettre à jour la bibliothèque libungif en passant à la version 4.1.4 disponible à l'adresse suivante :

http://sourceforge.net/project/showfiles.php?group_id=102202&package_id=109698

Mettre à jour la bibliothèque giflib en passant à la version 4.1.4 disponible à l'adresse suivante :

http://sourceforge.net/project/showfiles.php?group_id=102202&package_id=119585

Se référer aux bulletins de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).

None

Impacted products

	Vendor	Product	Description
	N/A	N/A	giflib 4.1.3 et versions antérieures.
	N/A	N/A	libungif 4.1.3 et versions antérieures ;

References

Title

Publication Time

Tags

Bulletin de sécurité RedHat Bugzilla #171413	None	vendor-advisory
Mise à jour de libungif pour Fedora Core 3 :	-	other
Bulletin de sécurité Ubuntu USN-214 du 07 novembre 2005 :	-	other
Bulletin de sécurité RedHat RHSA-2005-828 du 03 novembre 2005 :	-	other
Bulletin de sécurité Mandriva MDKSA-2005:207 du 09 novembre 2005 :	-	other
Mise à jour de libungif pour Fedora Core 4 :	-	other
Bulletin de sécurité Debian DSA-890 du 09 novembre 2005 :	-	other
Bulletin de sécurité RedHat Bugzilla #17141 :	-	other
Bulletin de sécurité Gentoo GLSA 200511-03 du 04 novembre 2005 :	-	other

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "giflib 4.1.3 et versions ant\u00e9rieures.",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    },
    {
      "description": "libungif 4.1.3 et versions ant\u00e9rieures ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Description\n\nLes biblioth\u00e8ques libungif et giflib permettent le traitement des\nfichiers images au format gif.\n\n-   Une vuln\u00e9rabilit\u00e9 dans la gestion des pointeurs peut \u00eatre exploit\u00e9e\n    via un fichier image au format gif afin de provoquer \u00e0 distance\n    l\u0027arr\u00eat brutal de l\u0027application ;\n-   une vuln\u00e9rabilit\u00e9 de type d\u00e9bordement de m\u00e9moire permet \u00e0 un\n    utilisateur mal intentionn\u00e9 d\u0027ex\u00e9cuter du code arbitraire \u00e0 distance\n    au moyen d\u0027un fichier image au format gif malicieusement construit.\n\n## Solution\n\nMettre \u00e0 jour la biblioth\u00e8que libungif en passant \u00e0 la version 4.1.4\ndisponible \u00e0 l\u0027adresse suivante :\n\n    http://sourceforge.net/project/showfiles.php?group_id=102202\u0026package_id=109698\n\nMettre \u00e0 jour la biblioth\u00e8que giflib en passant \u00e0 la version 4.1.4\ndisponible \u00e0 l\u0027adresse suivante :\n\n    http://sourceforge.net/project/showfiles.php?group_id=102202\u0026package_id=119585\n\n  \n\nSe r\u00e9f\u00e9rer aux bulletins de s\u00e9curit\u00e9 des \u00e9diteurs pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [],
  "links": [
    {
      "title": "Mise \u00e0 jour de libungif pour Fedora Core 3 :",
      "url": "http://download.fedora.redhat.com/pub/fedora/linux/core/updates/3/"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Ubuntu USN-214 du 07 novembre 2005 :",
      "url": "http://lists.ubuntu.com/archives/ubuntu-security-announce/2005-November/000240.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2005-828 du 03 novembre    2005 :",
      "url": "http://rhn.redhat.com/errata/RHSA-2005-828.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Mandriva MDKSA-2005:207 du 09 novembre    2005 :",
      "url": "http://www.mandriva.com/security/advisories?name=MDKSA-2005:207"
    },
    {
      "title": "Mise \u00e0 jour de libungif pour Fedora Core 4 :",
      "url": "http://download.fedora.redhat.com/pub/fedora/linux/core/updates/4/"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Debian DSA-890 du 09 novembre 2005 :",
      "url": "http://www.debian.org/security/2005/dsa-890"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 RedHat Bugzilla #17141 :",
      "url": "https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=171413"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Gentoo GLSA 200511-03 du 04 novembre    2005 :",
      "url": "http://www.gentoo.org/security/en/glsa/glsa-200511-03.xml"
    }
  ],
  "reference": "CERTA-2005-AVI-440",
  "revisions": [
    {
      "description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Mandriva MDKSA-2005:207.",
      "revision_date": "2003-11-10T00:00:00.000000"
    },
    {
      "description": "version initiale.",
      "revision_date": "2005-11-07T00:00:00.000000"
    },
    {
      "description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Ubuntu USN-214.",
      "revision_date": "2005-11-08T00:00:00.000000"
    },
    {
      "description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Debian DSA-890.",
      "revision_date": "2005-11-09T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    },
    {
      "description": "D\u00e9ni de service"
    }
  ],
  "summary": "Deux vuln\u00e9rabilit\u00e9s affectant les biblioth\u00e8ques libungif et giflib\npermettent \u00e0 un utilisateur distant mal intentionn\u00e9 de provoquer un d\u00e9ni\nde service ou d\u0027ex\u00e9cuter du code arbitraire.\n",
  "title": "Multiples vuln\u00e9rabilit\u00e9s dans la biblioth\u00e8que libungif/giflib",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 RedHat Bugzilla #171413",
      "url": null
    }
  ]
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or observed by the user.
Confirmed: The vulnerability has been validated from an analyst's perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
Not confirmed: The user expressed doubt about the validity of the vulnerability.
Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.

Detection rules are retrieved from Rulezet.

Action not permitted