Failles de sécurité dans la libpng

Posté par Spack le 09 août 2004 à 14:05. Modéré par Benoît Sibaud.

Étiquettes :

août

2004

Des failles de sécurité ont été découvertes dans la bibliothèque de gestion d'images libre libpng (PNG portable network graphics).

Ces failles permettent à quelqu'un de mal intentionné d'exécuter du code à distance sur les systèmes Windows, MacOS et Linux.
Les vulnérabilités ont été détectées au niveau de la libpng dans un module où diverses applications piochent les ressources pour décoder les images au format PNG. En créant une image piégée et en la plaçant dans un site Internet ou dans un courriel, celles-ci permettent d'exécuter du code à distance en créant un « buffer overflow » (dépassement de mémoire tampon).
Le Cert-IST a émis le 5 août un avis non public, avec un indice de dangerosité « moyen ».

Des correctifs sont d'ores et déjà disponibles pour les distributions Linux et pour la suite Mozilla.

NdM : voir aussi les annonces sécurité Debian et Redhat.

Aller plus loin

# Le buffer overflow n'est pas une fin en soi

Posté par Florent Rougon (site web personnel) le 09 août 2004 à 14:19. Évalué à 10.

Euh... "exécuter du code à distance afin de créer un « buffer overflow »" ? Nan, ce serait plutôt l'inverse. Le buffer overflow n'est pas une fin en soi...

Sinon, on écrit d'ores et déjà (avec un e à ores, donc).
# Présomption d'innocence

Posté par un_brice (site web personnel) le 09 août 2004 à 14:21. Évalué à 7.

Ces failles permettent à quelqu'un de mal intentionné d'exécuter du code à distance sur les systèmes Windows, MacOS et Linux.
C'est quoi ces à priori ? Ça se trouve il fait ça pour ton bien, médisant.
# Mauvaise pub

Posté par Juke (site web personnel) le 09 août 2004 à 14:43. Évalué à 1.

J'ai peur que les gens fassent un amalgame: PNG saiMal.

Esperons que non.
- [^] # Mauvais titre
  
  Posté par gnujsa le 09 août 2004 à 15:57. Évalué à 6.
  
  Oui a cause du titre de la news qui est trompeur:
  « Failles de sécurité dans la gestion du format PNG »
  
  Il y a bien un problème avec la lib: «libpng» et pas de manière générale avec «la gestion du format PNG». J'imagine, que sous windows par exemple, des tas de programmes lisent le PNG et n'utilisent pas libpng et ne sont donc pas concernés par cette faille.
  - [^] # Re: Mauvais titre
    
    Posté par Mathieu Pillard (site web personnel) le 09 août 2004 à 20:50. Évalué à 2.
    
    Le titre de base était « Failles de sécurité dans le format PNG » alors tu sais :p
    - [^] # Re: Mauvais titre
      
      Posté par neil le 10 août 2004 à 09:24. Évalué à 6.
      
      Encore mieux sur 01.net (et récupéré sur http://news.google.fr(...)) :
      Les images open source ne sont pas infaillibles
# Le format PNG n'est pas dangereux..

Posté par Raphael R le 09 août 2004 à 14:47. Évalué à 3.

.. car ici où la (heureusement pas sur DLFP) on peut lire que la faille touche le format PNG. Ce genre de "désinformation" volontaire ou pas (enfin je pencherais pas mal pour de l'incompetence) n'est pas franchement bon pour la promotion des formats ouverts et libres. Le PNG est un tres bon format (enfin une fusion avec le MNG serait la bienvenue) qui merite de se répandre...

Sinon, cette faille touche aussi les systemes BSD (mise à jour de la news?), car la libpng est très utilisées sur les divers systemes libres malgré le fait que dès vendredi matin j'avais mis les correctifs :) (ports rulez.)
- [^] # Re: Le format PNG n'est pas dangereux..
  
  Posté par L Guillaume le 10 août 2004 à 20:29. Évalué à 3.
  
  La libpbng est aussi utilisée par Apple dans MacOS X.3 (et son navigateur Safari). La mise à jour est dispo depuis ce matin depuis le menu Pomme -> "Mise à jour de logiciels"
# nouvelle rubrique

Posté par warmup031 le 09 août 2004 à 14:57. Évalué à 2.

une faille par ci, une faille par là, le libre c'est pas que la securité hein ???
<mode rêve >
Ce serait bien d'avoir une rubrique securité comme dans le bon vieux temps sous dacode...
</mode rêve>
- [^] # Re: nouvelle rubrique
  
  Posté par Sebastien le 09 août 2004 à 15:09. Évalué à 2.
  
  Sans doute un truc à dire dans le forum Idées...
  https://linuxfr.org/forums/3/(...)
- [^] # Re: nouvelle rubrique
  
  Posté par Benoît Sibaud (site web personnel) le 09 août 2004 à 17:37. Évalué à 3.
  
  Comme
  http://linuxfr.org/sections/Securite.html(...)
  et
  http://linuxfr.org/topics/Securite.html(...)
  tu veux dire ?
  - [^] # Re: nouvelle rubrique
    
    Posté par Sebastien le 09 août 2004 à 18:14. Évalué à 2.
    
    Oui mais je pense que ce qu'il voulait dire (comme d'ailleurs ce gens-là aussi https://linuxfr.org/comments/457458.html#457458(...) ) c'est que toutes ces annonces de failles de securité nuisaient à la lisibilité du site. (attention, je dis pas qu'elles ne sont pas importantes, hein ! Ne me faites pas dire ce que je n'ai pas écrit !)
    
    Et les articles qui sont sur les deux pages que tu donnes sont passés en première ou seconde page...
    Une rubrique dédiée serait peut-être une (bonne) idée...
    
    Mes 0.02 neuros.
  - [^] # Re: nouvelle rubrique
    
    Posté par warmup031 le 09 août 2004 à 19:26. Évalué à 2.
    
    je voulais dire que sur la homepage de linuxfr,
    4 news de failles de securité ca fesait beaucoup...
    
    http://linuxfr.org/2004/08/09/17006.html(...)
    
    http://linuxfr.org/2004/08/09/16916.html(...)
    
    http://linuxfr.org/2004/08/07/17001.html(...)
    
    http://linuxfr.org/2004/07/29/16929.html(...)
    
    et que ça serait bien que ié une rubrik securité visible sur la homepage
    pour quanf on a envie de les voir.
    après, moi je dis ça, je dis rien....c'est just une idée
    - [^] # Re: nouvelle rubrique
      
      Posté par Spack le 09 août 2004 à 20:00. Évalué à 2.
      
      Ouais c'est vrai que la création de cette rubrique serait la bienvenue...
      Une place pour les news et une autres pour les failles...
      - [^] # Re: nouvelle rubrique
        
        Posté par nextgens (site web personnel) le 09 août 2004 à 20:37. Évalué à 1.
        
        a la limite même une nouvelle boite : 'SomeSecurityNews' ... ;-)
        tout le monde n'est peut-être pas intéressé par ce genre d'anonces... et les personnes intéressées lui préfèreront sans doute des ML dédiées...
      - [^] # Re: nouvelle rubrique
        
        Posté par Gniarf le 09 août 2004 à 22:54. Évalué à 2.
        
        ça peut aller avec des annonces de nouvelles versions mineures de softs genre wmMarmotte qui n'interesseront que les passionnés...
        
        'fin bon, ça existe déjà ailleurs.
# ...

Posté par itstimetogo le 09 août 2004 à 15:04. Évalué à 7.

Si on passe toutes les news de sécurité, ça va être l'invasion.
Les trous de sécurité de la semaine dernière :
http://lwn.net/Articles/94604/(...)

Nombre : 24
- [^] # Re: ...
  
  Posté par warmup031 le 09 août 2004 à 15:12. Évalué à -3.
  
  oui mais je trouves que ça pollue deja pas mal la page principale de linuxfr...
- [^] # Re: ...
  
  Posté par Olivier (site web personnel) le 09 août 2004 à 17:04. Évalué à 1.
  
  Les trous de sécurité de la semaine dernière :
  
  Ce n'est pas sur une semaine. L'info de lwn n'est pas très clair la dessus :
  
  Exemple : Le trou de sécurité "Ethereal: Multiple security problems". L'info est indiquée comme étant mise à jour le "July 23, 2004" (plus de 2 semaines), mais le patch de sécurité est disponible sur le site de MDK depuis le 29 juin 2004 (plus d'un mois !!!) : http://www.mandrakesoft.com/security/advisories?dis=9.2(...) (c'est l'alerte " MDKSA-2004:067")
  
  Et il y a plusieurs autres problèmes similaires avec d'autres patchs de MDK (je n'ai pas regardé pour les autres distributions)
  
  Bref, les 24 trous de sécurité se rapartissent sur au moins un mois. Par contre, certaines distributions ont mis plus de temps que d'autres à fournir des nouveaux paquets...
  - [^] # Re: ...
    
    Posté par itstimetogo le 09 août 2004 à 19:50. Évalué à 2.
    
    > Ce n'est pas sur une semaine.
    
    Sisi. C'est la semaine du 22 au 29 juin.
    C'est la page sécurité hebdomadaire de lwn.net. Pour l'archive, c'est ici :
    http://lwn.net/Archives/(...)
    Mais des bug sont repris d'une semaine sur l'autre en fonction des mises à jours par les distributeurs.
    
    > Bref, les 24 trous de sécurité se rapartissent sur au moins un mois.
    
    C'est plus ou moins vrai. Mais il y a pas eu 24 nouveaux trous de sécurité pour la semaine.
    
    Mais regardes ici :
    http://lwn.net/Vulnerabilities/(...)
    Le 6/08 : 3 nouveaux trous de sécurité
    Le 5/08 : 2
    Le 4/08 : 5
    Le 30/07 : 4
    Le 29/07 : 1
    Le 28/07 : 5
    
    19 nouveaux trous de sécurité en moins de 2 semaines.
# patchage pour Debian Sarge et Sid

Posté par Krunch (site web personnel) le 09 août 2004 à 18:21. Évalué à 1.
Apparement Sarge et Sid ne sont pas encore patchés donc comme j'avais rien à faire je me suis demandé si ça serait dur à faire. Apparement non (pour Sarge):
```
$ apt-get source libpng3
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances... Fait
Nécessité de prendre 519ko dans les sources.
Réception de| : 1 http://ftp.debian.skynet.be(...) testing/main libpng3 1.2.5.0-6 (dsc) [635B]
Réception de| : 2 http://ftp.debian.skynet.be(...) testing/main libpng3 1.2.5.0-6 (tar) [506kB]
Réception de| : 3 http://ftp.debian.skynet.be(...) testing/main libpng3 1.2.5.0-6 (diff) [12,5kB]
519ko réceptionnés en 2s (245ko/s)
dpkg-source: extracting libpng3 in libpng3-1.2.5.0
$ cd libpng3-1.2.5.0/
$ wget -q -O - ftp://swrinde.nde.swri.edu/pub/png/src/libpng-1.2.5-all-patches.tx(...) | patch -p1
patching file png.h
patching file pngconf.h
patching file pngerror.c
Hunk #1 FAILED at 137.
1 out of 1 hunk FAILED -- saving rejects to file pngerror.c.rej
patching file pngpread.c
patching file pngread.c
patching file pngrtran.c
Hunk #3 succeeded at 1929 with fuzz 1 (offset -36 lines).
Hunk #4 FAILED at 1951.
1 out of 4 hunks FAILED -- saving rejects to file pngrtran.c.rej
patching file pngrutil.c
patching file pngset.c
$ vi pngrtran.c
        # go to line 1949 and change "* 3" into "* 6"
        # go to line 1950 and add "* 2" at the end of the line
$ dpkg-buildpackage -rfakeroot -us -uc
        # [...blablabla...compilation...]
```
Les mainteneurs Debian sont vraiment lents ou c'est moi qui ai oublié un truc fondamental quelque part ? Pour les rejets de patch, le premier ça avait déjà été fait par un patch Debian précédent (je suppose) et le deuxième s'appliquait pas parce qu'un commentaire a changé (mais suffit de l'appliquer manuellement).
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
- [^] # Re: patchage pour Debian Sarge et Sid
  
  Posté par linuxfan le 09 août 2004 à 18:52. Évalué à 2.
  
  Sur ma woody, ça a été fait le 5 aout ...
  - [^] # Re: patchage pour Debian Sarge et Sid
    
    Posté par Krunch (site web personnel) le 09 août 2004 à 19:18. Évalué à 2.
    
    Sur la mienne aussi, mais j'utilise pas que Woody.
    pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
- [^] # Re: patchage pour Debian Sarge et Sid
  
  Posté par Misc (site web personnel) le 09 août 2004 à 20:26. Évalué à 4.
  
  Un patch, ça se fait pas à la légére.
  
  Surtout pour la libpng, qui est tout de même un paquet trés utilisé. Il faut faire divers tests, il faut vérifier si la faille est fermé, véritablement fermé, il faut que ça builde partout, et que ça passe l'assurance qualité.
  
  C'est pas aussi facile que ça.
- [^] # Re: tu sais pas lire ?
  
  Posté par M le 09 août 2004 à 20:38. Évalué à 5.
  
  http://www.debian.org/security/faq.fr.html#testing(...) :
  
  Q. : Comment est gérée la sécurité pour testing et unstable ?
  
  R. : La réponse courte est : elle ne l'est pas. Testing et unstable évoluent rapidement et l'équipe chargée de la sécurité n'a pas les ressources nécessaires pour faire ce travail correctement. Si vous souhaitez un serveur sûr (et stable), vous êtes fortement encouragés à rester sur la distribution stable. Cependant, les membres de l'équipe en charge de la sécurité essayeront de corriger les problèmes dans testing et unstable une fois qu'ils auront été corrigés dans la version stable.
  
  D'ailleur je comprends pas pourquoi la personne qui a dit que woody etait patchee depuis le 5 aout c'est fait moinser ...
# "Les images open source ne sont pas infaillibles"

Posté par LeMagicien Garcimore le 09 août 2004 à 19:00. Évalué à 4.

en passant par google news j'ai trouvé :

http://www.01net.com/article/249374.html(...)

"La Mozilla Foundation qui veille au bon développement de programmes tels que Firefox, Thunderbird, Mozilla ou Konqueror"
# Première news...

Posté par Spack le 09 août 2004 à 23:04. Évalué à 3.

C'était ma première news, j'ai essayé de faire de mon mieu même s'il y à quelques erreurs...Mais avant d'exeller il faut débuter...Et les débutants commettent toujours qq erreurs...

Donc désolé si j'ai choqué quelques un...
- [^] # Re: Première news...
  
  Posté par Bruce Le Nain (site web personnel) le 10 août 2004 à 10:04. Évalué à 3.
  
  Bah moi je trouve ça bien, il faut pas non plus exagérer.
  
  Poster des news sur linuxfr, ce n'est pas non plus un métier, c'est un service rendu, même si certains voient ça comme leur quart d'heure de gloire ;)
  - [^] # Re: Première news...
    
    Posté par Zorro (site web personnel) le 10 août 2004 à 11:25. Évalué à 5.
    
    Moi, quand je poste sur LinuxFR est que c'est publié, je téléphone vite à ma maman et à ma grand-mère, pour qu'elles aillent lire (coucou, maman !)...
- [^] # Re: Première news...
  
  Posté par Pierre Jarillon (site web personnel) le 11 août 2004 à 00:23. Évalué à 2.
  
  Je pense qu'il vaudrait mieux positiver : au lieu de dire qu'i y a des failles de sécurité dans.... il vaudrait mieux titrer "Correctif de sécurité pour..."
  C'est juste un avis !

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.