Avis du CERTA : Vulnérabilité de Cairo
décembre 2007 par CERT-FR
1 Risque
* Exécution de code arbitraire à distance ;
* déni de service à distance.
2 Systèmes affectés
Cairo versions 1.4.11 et antérieures.
3 Résumé
Une vulnérabilité dans Cairo permet à un utilisateur distant de provoquer un
déni de service ou d’exécuter du code arbitraire à distance.
4 Description
Une vulnérabilité est présente dans la bibliothèque de fonctions d’affichage
Cairo. Elle est relative à la mise en ?uvre de l’affichage d’images au format
PNG (Portable Network Graphics). Cette faille permet à un utilisateur distant
de provoquer un déni de service de l’application utilisant Cairo ou l’exécution
de code arbitraire. L’attaque peut être conduite à distance par le biais d’une
image PNG construite de façon particulière.
5 Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs
(cf. section Documentation).
6 Documentation
* Bulletin de sécurité Cairo du 27 novembre 2007 :
http://cairographics.org/news/cairo-1.4.12
* Rapport d’erreur RedHat #387431 :
https://bugzilla.redhat.org/show_bug.cgi?id=387431
* Bulletin de sécurité RedHat RHSA-2007:1078 du 29 novembre 2007 :
http://rhn.redhat.com/errata/RHSA-2007-1078.html
* Bulletin de sécurité Ubuntu USN-550-1 du 03 décembre 2007 :
http://www.ubuntulinux.org/usn/usn-550-1
* Référence CVE CVE-2007-5503 :