S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 01 juin 2007 No CERTA-2006-AVI-506-001

Affaire suivie par :

CERTA

Objet : Vulnérabilité dans libpng

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Déni de service.

2 Systèmes affectés

libpng versions 1.0.6 à 1.2.12 et version 1.0.20.

3 Description

Une vulnérabilité a été découverte dans la fonction png_set_sPLT() de la bibliothèque libpng. L'exploitation de cette vulnérabilité peut provoquer un arrêt brutal de l'application utilisant cette bibliothèque.

4 Solution

Installer la version 1.2.13 ou 1.0.21.

5 Documentation

• Alerte de sécurité de libpng :

  http://www.libpng.org/pub/png/libpng.html
  

• Bulletin de sécurité Gentoo GLSA-200611-09 du 17 novembre 2006 :

  http://www.gentoo.org/security/en/glsa/glsa-200611-09.xml
  

• Bulletin de sécurité Mandriva MDKSA-2006:209 du 16 novembre 2006 :

  http://www.mandriva.com/security/advisories?name=MDKSA-2006:209
  

• Bulletin de sécurité RedHat RHSA-2007:0356 du 17 mai 2007 :

  http://rhn.redhat.com/errata/RHSA-2007-0356.html
  

• Bulletin de sécurité SuSE SUSE-SR:2006:028 du 08 décembre 2006 :

  http://lists.suse.com/archive/suse-security-announce/2006-Dec/0002.html
  

• Bulletin de sécurité Ubuntu USN-383-1 du 16 novembre 2006 :

  http://www.ubuntu.com/usn/usn-383-1
  

• Référence CVE CVE-2006-5793 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-5793
  

Gestion détaillée du document

17 novembre 2006

version initiale.

01 juin 2006

ajout des références aux bulletins de sécurité Gentoo, Mandriva, Red Hat, SuSE, Ubuntu.