Ces failles permettent à quelqu'un de mal intentionné d'exécuter du code à distance sur les systèmes Windows, MacOS et Linux.
Les vulnérabilités ont été détectées au niveau de la libpng dans un module où diverses applications piochent les ressources pour décoder les images au format PNG. En créant une image piégée et en la plaçant dans un site Internet ou dans un courriel, celles-ci permettent d'exécuter du code à distance en créant un « buffer overflow » (dépassement de mémoire tampon).
Le Cert-IST a émis le 5 août un avis non public, avec un indice de dangerosité « moyen ».
Des correctifs sont d'ores et déjà disponibles pour les distributions Linux et pour la suite Mozilla.
NdM : voir aussi les annonces sécurité Debian et Redhat.
Aller plus loin
- Source (4 clics)
- Description de la faille (3 clics)
- Correctif libpng (2 clics)
- Mozilla 1.7.2 (4 clics)
- Annonce sécurité Debian (3 clics)
- Annonce sécurité Redhat (2 clics)
# Le buffer overflow n'est pas une fin en soi
Posté par Florent Rougon (site web personnel) . Évalué à 10.
Sinon, on écrit d'ores et déjà (avec un e à ores, donc).
# Présomption d'innocence
Posté par un_brice (site web personnel) . Évalué à 7.
# Mauvaise pub
Posté par Juke (site web personnel) . Évalué à 1.
Esperons que non.
[^] # Mauvais titre
Posté par gnujsa . Évalué à 6.
« Failles de sécurité dans la gestion du format PNG »
Il y a bien un problème avec la lib: «libpng» et pas de manière générale avec «la gestion du format PNG». J'imagine, que sous windows par exemple, des tas de programmes lisent le PNG et n'utilisent pas libpng et ne sont donc pas concernés par cette faille.
[^] # Re: Mauvais titre
Posté par Mathieu Pillard (site web personnel) . Évalué à 2.
[^] # Re: Mauvais titre
Posté par neil . Évalué à 6.
Les images open source ne sont pas infaillibles
# Le format PNG n'est pas dangereux..
Posté par Raphael R . Évalué à 3.
Sinon, cette faille touche aussi les systemes BSD (mise à jour de la news?), car la libpng est très utilisées sur les divers systemes libres malgré le fait que dès vendredi matin j'avais mis les correctifs :) (ports rulez.)
[^] # Re: Le format PNG n'est pas dangereux..
Posté par L Guillaume . Évalué à 3.
# nouvelle rubrique
Posté par warmup031 . Évalué à 2.
<mode rêve >
Ce serait bien d'avoir une rubrique securité comme dans le bon vieux temps sous dacode...
</mode rêve>
[^] # Re: nouvelle rubrique
Posté par Sebastien . Évalué à 2.
https://linuxfr.org/forums/3/(...)
[^] # Re: nouvelle rubrique
Posté par Benoît Sibaud (site web personnel) . Évalué à 3.
http://linuxfr.org/sections/Securite.html(...)
et
http://linuxfr.org/topics/Securite.html(...)
tu veux dire ?
[^] # Re: nouvelle rubrique
Posté par Sebastien . Évalué à 2.
Et les articles qui sont sur les deux pages que tu donnes sont passés en première ou seconde page...
Une rubrique dédiée serait peut-être une (bonne) idée...
Mes 0.02 neuros.
[^] # Re: nouvelle rubrique
Posté par warmup031 . Évalué à 2.
4 news de failles de securité ca fesait beaucoup...
http://linuxfr.org/2004/08/09/17006.html(...)
http://linuxfr.org/2004/08/09/16916.html(...)
http://linuxfr.org/2004/08/07/17001.html(...)
http://linuxfr.org/2004/07/29/16929.html(...)
et que ça serait bien que ié une rubrik securité visible sur la homepage
pour quanf on a envie de les voir.
après, moi je dis ça, je dis rien....c'est just une idée
[^] # Re: nouvelle rubrique
Posté par Spack . Évalué à 2.
Une place pour les news et une autres pour les failles...
[^] # Re: nouvelle rubrique
Posté par nextgens (site web personnel) . Évalué à 1.
tout le monde n'est peut-être pas intéressé par ce genre d'anonces... et les personnes intéressées lui préfèreront sans doute des ML dédiées...
[^] # Re: nouvelle rubrique
Posté par Gniarf . Évalué à 2.
'fin bon, ça existe déjà ailleurs.
# ...
Posté par itstimetogo . Évalué à 7.
Les trous de sécurité de la semaine dernière :
http://lwn.net/Articles/94604/(...)
Nombre : 24
[^] # Re: ...
Posté par warmup031 . Évalué à -3.
[^] # Re: ...
Posté par Olivier (site web personnel) . Évalué à 1.
Ce n'est pas sur une semaine. L'info de lwn n'est pas très clair la dessus :
Exemple : Le trou de sécurité "Ethereal: Multiple security problems". L'info est indiquée comme étant mise à jour le "July 23, 2004" (plus de 2 semaines), mais le patch de sécurité est disponible sur le site de MDK depuis le 29 juin 2004 (plus d'un mois !!!) : http://www.mandrakesoft.com/security/advisories?dis=9.2(...) (c'est l'alerte " MDKSA-2004:067")
Et il y a plusieurs autres problèmes similaires avec d'autres patchs de MDK (je n'ai pas regardé pour les autres distributions)
Bref, les 24 trous de sécurité se rapartissent sur au moins un mois. Par contre, certaines distributions ont mis plus de temps que d'autres à fournir des nouveaux paquets...
[^] # Re: ...
Posté par itstimetogo . Évalué à 2.
Sisi. C'est la semaine du 22 au 29 juin.
C'est la page sécurité hebdomadaire de lwn.net. Pour l'archive, c'est ici :
http://lwn.net/Archives/(...)
Mais des bug sont repris d'une semaine sur l'autre en fonction des mises à jours par les distributeurs.
> Bref, les 24 trous de sécurité se rapartissent sur au moins un mois.
C'est plus ou moins vrai. Mais il y a pas eu 24 nouveaux trous de sécurité pour la semaine.
Mais regardes ici :
http://lwn.net/Vulnerabilities/(...)
Le 6/08 : 3 nouveaux trous de sécurité
Le 5/08 : 2
Le 4/08 : 5
Le 30/07 : 4
Le 29/07 : 1
Le 28/07 : 5
19 nouveaux trous de sécurité en moins de 2 semaines.
# patchage pour Debian Sarge et Sid
Posté par Krunch (site web personnel) . Évalué à 1.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: patchage pour Debian Sarge et Sid
Posté par linuxfan . Évalué à 2.
[^] # Re: patchage pour Debian Sarge et Sid
Posté par Krunch (site web personnel) . Évalué à 2.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: patchage pour Debian Sarge et Sid
Posté par Misc (site web personnel) . Évalué à 4.
Surtout pour la libpng, qui est tout de même un paquet trés utilisé. Il faut faire divers tests, il faut vérifier si la faille est fermé, véritablement fermé, il faut que ça builde partout, et que ça passe l'assurance qualité.
C'est pas aussi facile que ça.
[^] # Re: tu sais pas lire ?
Posté par M . Évalué à 5.
Q. : Comment est gérée la sécurité pour testing et unstable ?
R. : La réponse courte est : elle ne l'est pas. Testing et unstable évoluent rapidement et l'équipe chargée de la sécurité n'a pas les ressources nécessaires pour faire ce travail correctement. Si vous souhaitez un serveur sûr (et stable), vous êtes fortement encouragés à rester sur la distribution stable. Cependant, les membres de l'équipe en charge de la sécurité essayeront de corriger les problèmes dans testing et unstable une fois qu'ils auront été corrigés dans la version stable.
D'ailleur je comprends pas pourquoi la personne qui a dit que woody etait patchee depuis le 5 aout c'est fait moinser ...
# "Les images open source ne sont pas infaillibles"
Posté par LeMagicien Garcimore . Évalué à 4.
http://www.01net.com/article/249374.html(...)
"La Mozilla Foundation qui veille au bon développement de programmes tels que Firefox, Thunderbird, Mozilla ou Konqueror"
# Première news...
Posté par Spack . Évalué à 3.
Donc désolé si j'ai choqué quelques un...
[^] # Re: Première news...
Posté par Bruce Le Nain (site web personnel) . Évalué à 3.
Poster des news sur linuxfr, ce n'est pas non plus un métier, c'est un service rendu, même si certains voient ça comme leur quart d'heure de gloire ;)
[^] # Re: Première news...
Posté par Zorro (site web personnel) . Évalué à 5.
[^] # Re: Première news...
Posté par Pierre Jarillon (site web personnel) . Évalué à 2.
C'est juste un avis !
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.