jeudi 10 avril

Accueil :: Dépêches :: Archives :: Proposer une dépêche :: Journaux :: Forums :: Astuces :: Suivi :: RDF

Articles précédents : Internet

Liens connexes

Source (1026 hits)
Description de la faille (677 hits)
Correctif libpng (633 hits)
Mozilla 1.7.2 (524 hits)
Annonce sécurité Debian (610 hits)
Annonce sécurité Redhat (385 hits)

Dépêche modérée par

Oumph

Dépêche éditée par

Internet : Failles de sécurité dans la libpng

Posté par Spack (). Modéré le 09 août 2004.

Des failles de sécurité ont été découvertes dans la bibliothèque de gestion d'images libre libpng (PNG portable network graphics).

Ces failles permettent à quelqu'un de mal intentionné d'exécuter du code à distance sur les systèmes Windows, MacOS et Linux.
Les vulnérabilités ont été détectées au niveau de la libpng dans un module où diverses applications piochent les ressources pour décoder les images au format PNG. En créant une image piégée et en la plaçant dans un site Internet ou dans un courriel, celles-ci permettent d'exécuter du code à distance en créant un « buffer overflow » (dépassement de mémoire tampon).
Le Cert-IST a émis le 5 août un avis non public, avec un indice de dangerosité « moyen ».

Des correctifs sont d'ores et déjà disponibles pour les distributions Linux et pour la suite Mozilla.

NdM : voir aussi les annonces sécurité Debian et Redhat.

Source (1026 hits)
Description de la faille (677 hits)
Correctif libpng (633 hits)
Mozilla 1.7.2 (524 hits)
Annonce sécurité Debian (610 hits)
Annonce sécurité Redhat (385 hits)

> Lire la dépêche (30 commentaires, moyenne: 3,2).

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

Le buffer overflow n'est pas une fin en soi

Posté par Florent Rougon (page perso, ) le 09/08/2004 à 12:19. (lien). Évalué à 14.

Euh... "exécuter du code à distance afin de créer un « buffer overflow »" ? Nan, ce serait plutôt l'inverse. Le buffer overflow n'est pas une fin en soi...

Sinon, on écrit d'ores et déjà (avec un e à ores, donc).

Présomption d'innocence

Posté par Brice Arnould ( un_brice ) (page perso, ) le 09/08/2004 à 12:21. (lien). Évalué à 7.

Ces failles permettent à quelqu'un de mal intentionné d'exécuter du code à distance sur les systèmes Windows, MacOS et Linux.

C'est quoi ces à priori ? Ça se trouve il fait ça pour ton bien, médisant.

--
Respect à RMS.

Mauvaise pub

Posté par Juke (Jabber id, page perso, ) le 09/08/2004 à 12:43. (lien). Évalué à 1.

J'ai peur que les gens fassent un amalgame: PNG saiMal.

Esperons que non.

[^]Mauvais titre

Posté par gnujsa () le 09/08/2004 à 13:57. (lien). Évalué à 6.
Oui a cause du titre de la news qui est trompeur:
« Failles de sécurité dans la gestion du format PNG »

Il y a bien un problème avec la lib: «libpng» et pas de manière générale avec «la gestion du format PNG». J'imagine, que sous windows par exemple, des tas de programmes lisent le PNG et n'utilisent pas libpng et ne sont donc pas concernés par cette faille.
- [^]Re: Mauvais titre
  
  Posté par Mathieu Pillard (page perso, ) le 09/08/2004 à 18:50. (lien). Évalué à 2.
  Le titre de base était « Failles de sécurité dans le format PNG » alors tu sais :p
  - [^]Re: Mauvais titre
    
    Posté par neil () le 10/08/2004 à 07:24. (lien). Évalué à 6.
    Encore mieux sur 01.net (et récupéré sur http://news.google.fr(...)) :
    Les images open source ne sont pas infaillibles

Le format PNG n'est pas dangereux..

Posté par Raphael R () le 09/08/2004 à 12:47. (lien). Évalué à 3.

.. car ici où la (heureusement pas sur DLFP) on peut lire que la faille touche le format PNG. Ce genre de "désinformation" volontaire ou pas (enfin je pencherais pas mal pour de l'incompetence) n'est pas franchement bon pour la promotion des formats ouverts et libres. Le PNG est un tres bon format (enfin une fusion avec le MNG serait la bienvenue) qui merite de se répandre...

Sinon, cette faille touche aussi les systemes BSD (mise à jour de la news?), car la libpng est très utilisées sur les divers systemes libres malgré le fait que dès vendredi matin j'avais mis les correctifs :) (ports rulez.)

[^]Re: Le format PNG n'est pas dangereux..

Posté par L Guillaume () le 10/08/2004 à 18:29. (lien). Évalué à 3.
La libpbng est aussi utilisée par Apple dans MacOS X.3 (et son navigateur Safari). La mise à jour est dispo depuis ce matin depuis le menu Pomme -> "Mise à jour de logiciels"

nouvelle rubrique

Posté par warmup031 () le 09/08/2004 à 12:57. (lien). Évalué à 2.

une faille par ci, une faille par là, le libre c'est pas que la securité hein ???
<mode rêve >
Ce serait bien d'avoir une rubrique securité comme dans le bon vieux temps sous dacode...
</mode rêve>

[^]Re: nouvelle rubrique

Posté par Sebastien Binet () le 09/08/2004 à 13:09. (lien). Évalué à 2.
Sans doute un truc à dire dans le forum Idées...
https://linuxfr.org/forums/3/(...)

[^]Re: nouvelle rubrique

Posté par Benoît Sibaud (Jabber id, page perso, ) le 09/08/2004 à 15:37. (lien). Évalué à 3.
Comme
http://linuxfr.org/sections/Securite.html(...)
et
http://linuxfr.org/topics/Securite.html(...)
tu veux dire ?
- [^]Re: nouvelle rubrique
  
  Posté par Sebastien Binet () le 09/08/2004 à 16:14. (lien). Évalué à 2.
  Oui mais je pense que ce qu'il voulait dire (comme d'ailleurs ce gens-là aussi https://linuxfr.org/comments/457458.html#457458(...) ) c'est que toutes ces annonces de failles de securité nuisaient à la lisibilité du site. (attention, je dis pas qu'elles ne sont pas importantes, hein ! Ne me faites pas dire ce que je n'ai pas écrit !)
  
  Et les articles qui sont sur les deux pages que tu donnes sont passés en première ou seconde page...
  Une rubrique dédiée serait peut-être une (bonne) idée...
  
  Mes 0.02 neuros.
- [^]Re: nouvelle rubrique
  
  Posté par warmup031 () le 09/08/2004 à 17:26. (lien). Évalué à 2.
  je voulais dire que sur la homepage de linuxfr,
  4 news de failles de securité ca fesait beaucoup...
  
  http://linuxfr.org/2004/08/09/17006.html(...)
  
  http://linuxfr.org/2004/08/09/16916.html(...)
  
  http://linuxfr.org/2004/08/07/17001.html(...)
  
  http://linuxfr.org/2004/07/29/16929.html(...)
  
  et que ça serait bien que ié une rubrik securité visible sur la homepage
  pour quanf on a envie de les voir.
  après, moi je dis ça, je dis rien....c'est just une idée
  - [^]Re: nouvelle rubrique
    
    Posté par Spack () le 09/08/2004 à 18:00. (lien). Évalué à 2.
    Ouais c'est vrai que la création de cette rubrique serait la bienvenue...
    Une place pour les news et une autres pour les failles...
    - [^]Re: nouvelle rubrique
      
      Posté par nextgens (Jabber id, ) le 09/08/2004 à 18:37. (lien). Évalué à 1.
      a la limite même une nouvelle boite : 'SomeSecurityNews' ... ;-)
      tout le monde n'est peut-être pas intéressé par ce genre d'anonces... et les personnes intéressées lui préfèreront sans doute des ML dédiées...
      
      --
      NextGen$
      We love our country, but fear our government.
    - [^]Re: nouvelle rubrique
      
      Posté par Gniarf () le 09/08/2004 à 20:54. (lien). Évalué à 2.
      ça peut aller avec des annonces de nouvelles versions mineures de softs genre wmMarmotte qui n'interesseront que les passionnés...
      
      'fin bon, ça existe déjà ailleurs.
      
      --
      Windows has no users. It has hostages.

...

Posté par itstimetogo () le 09/08/2004 à 13:04. (lien). Évalué à 7.

Si on passe toutes les news de sécurité, ça va être l'invasion.
Les trous de sécurité de la semaine dernière :
http://lwn.net/Articles/94604/(...)

Nombre : 24

[+] [^]Re: ...

Posté par warmup031 () le 09/08/2004 à 13:12. (lien). Évalué à -3.
oui mais je trouves que ça pollue deja pas mal la page principale de linuxfr...

[^]Re: ...

Posté par Olivier () le 09/08/2004 à 15:04. (lien). Évalué à 1.
Les trous de sécurité de la semaine dernière :

Ce n'est pas sur une semaine. L'info de lwn n'est pas très clair la dessus :

Exemple : Le trou de sécurité "Ethereal: Multiple security problems". L'info est indiquée comme étant mise à jour le "July 23, 2004" (plus de 2 semaines), mais le patch de sécurité est disponible sur le site de MDK depuis le 29 juin 2004 (plus d'un mois !!!) : http://www.mandrakesoft.com/security/advisories?dis=9.2(...) (c'est l'alerte " MDKSA-2004:067")

Et il y a plusieurs autres problèmes similaires avec d'autres patchs de MDK (je n'ai pas regardé pour les autres distributions)

Bref, les 24 trous de sécurité se rapartissent sur au moins un mois. Par contre, certaines distributions ont mis plus de temps que d'autres à fournir des nouveaux paquets...
- [^]Re: ...
  
  Posté par itstimetogo () le 09/08/2004 à 17:50. (lien). Évalué à 2.
  > Ce n'est pas sur une semaine.
  
  Sisi. C'est la semaine du 22 au 29 juin.
  C'est la page sécurité hebdomadaire de lwn.net. Pour l'archive, c'est ici :
  http://lwn.net/Archives/(...)
  Mais des bug sont repris d'une semaine sur l'autre en fonction des mises à jours par les distributeurs.
  
  > Bref, les 24 trous de sécurité se rapartissent sur au moins un mois.
  
  C'est plus ou moins vrai. Mais il y a pas eu 24 nouveaux trous de sécurité pour la semaine.
  
  Mais regardes ici :
  http://lwn.net/Vulnerabilities/(...)
  Le 6/08 : 3 nouveaux trous de sécurité
  Le 5/08 : 2
  Le 4/08 : 5
  Le 30/07 : 4
  Le 29/07 : 1
  Le 28/07 : 5
  
  19 nouveaux trous de sécurité en moins de 2 semaines.

patchage pour Debian Sarge et Sid

Posté par Krunch (Jabber id, page perso, ) le 09/08/2004 à 16:21. (lien). Évalué à 1.

Apparement Sarge et Sid ne sont pas encore patchés donc comme j'avais rien à faire je me suis demandé si ça serait dur à faire. Apparement non (pour Sarge):

$ apt-get source libpng3
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances... Fait
Nécessité de prendre 519ko dans les sources.
Réception de| : 1 http://ftp.debian.skynet.be(...) testing/main libpng3 1.2.5.0-6 (dsc) [635B]
Réception de| : 2 http://ftp.debian.skynet.be(...) testing/main libpng3 1.2.5.0-6 (tar) [506kB]
Réception de| : 3 http://ftp.debian.skynet.be(...) testing/main libpng3 1.2.5.0-6 (diff) [12,5kB]
519ko réceptionnés en 2s (245ko/s)
dpkg-source: extracting libpng3 in libpng3-1.2.5.0
$ cd libpng3-1.2.5.0/
$ wget -q -O - ftp://swrinde.nde.swri.edu/pub/png/src/libpng-1.2.5-all-patches.tx(...) | patch -p1
patching file png.h
patching file pngconf.h
patching file pngerror.c
Hunk #1 FAILED at 137.
1 out of 1 hunk FAILED -- saving rejects to file pngerror.c.rej
patching file pngpread.c
patching file pngread.c
patching file pngrtran.c
Hunk #3 succeeded at 1929 with fuzz 1 (offset -36 lines).
Hunk #4 FAILED at 1951.
1 out of 4 hunks FAILED -- saving rejects to file pngrtran.c.rej
patching file pngrutil.c
patching file pngset.c
$ vi pngrtran.c
        # go to line 1949 and change "* 3" into "* 6"
        # go to line 1950 and add "* 2" at the end of the line
$ dpkg-buildpackage -rfakeroot -us -uc
        # [...blablabla...compilation...]

Les mainteneurs Debian sont vraiment lents ou c'est moi qui ai oublié un truc fondamental quelque part ? Pour les rejets de patch, le premier ça avait déjà été fait par un patch Debian précédent (je suppose) et le deuxième s'appliquait pas parce qu'un commentaire a changé (mais suffit de l'appliquer manuellement).

--
Free Softwares Users Group Arlon (Sud Luxembourg, Belgique)
pertinent, e adj. Approprié ; qui se rapporte exactement à ce dont il est question.

[^]Re: patchage pour Debian Sarge et Sid

Posté par linuxfan () le 09/08/2004 à 16:52. (lien). Évalué à 2.
Sur ma woody, ça a été fait le 5 aout ...
- [^]Re: patchage pour Debian Sarge et Sid
  
  Posté par Krunch (Jabber id, page perso, ) le 09/08/2004 à 17:18. (lien). Évalué à 2.
  Sur la mienne aussi, mais j'utilise pas que Woody.
  
  --
  Free Softwares Users Group Arlon (Sud Luxembourg, Belgique)
  pertinent, e adj. Approprié ; qui se rapporte exactement à ce dont il est question.

[^]Re: patchage pour Debian Sarge et Sid

Posté par Misc (page perso, ) le 09/08/2004 à 18:26. (lien). Évalué à 4.
Un patch, ça se fait pas à la légére.

Surtout pour la libpng, qui est tout de même un paquet trés utilisé. Il faut faire divers tests, il faut vérifier si la faille est fermé, véritablement fermé, il faut que ça builde partout, et que ça passe l'assurance qualité.

C'est pas aussi facile que ça.

[^]Re: tu sais pas lire ?

Posté par Matthieu C () le 09/08/2004 à 18:38. (lien). Évalué à 5.
http://www.debian.org/security/faq.fr.html#testing(...) :

Q. : Comment est gérée la sécurité pour testing et unstable ?

R. : La réponse courte est : elle ne l'est pas. Testing et unstable évoluent rapidement et l'équipe chargée de la sécurité n'a pas les ressources nécessaires pour faire ce travail correctement. Si vous souhaitez un serveur sûr (et stable), vous êtes fortement encouragés à rester sur la distribution stable. Cependant, les membres de l'équipe en charge de la sécurité essayeront de corriger les problèmes dans testing et unstable une fois qu'ils auront été corrigés dans la version stable.

D'ailleur je comprends pas pourquoi la personne qui a dit que woody etait patchee depuis le 5 aout c'est fait moinser ...

"Les images open source ne sont pas infaillibles"

Posté par LeMagicien Garcimore () le 09/08/2004 à 17:00. (lien). Évalué à 4.

en passant par google news j'ai trouvé :

http://www.01net.com/article/249374.html(...)

"La Mozilla Foundation qui veille au bon développement de programmes tels que Firefox, Thunderbird, Mozilla ou Konqueror"

Première news...

Posté par Spack () le 09/08/2004 à 21:04. (lien). Évalué à 3.

C'était ma première news, j'ai essayé de faire de mon mieu même s'il y à quelques erreurs...Mais avant d'exeller il faut débuter...Et les débutants commettent toujours qq erreurs...

Donc désolé si j'ai choqué quelques un...

[^]Re: Première news...

Posté par Bruce Le Nain (Jabber id, page perso, ) le 10/08/2004 à 08:04. (lien). Évalué à 3.
Bah moi je trouve ça bien, il faut pas non plus exagérer.

Poster des news sur linuxfr, ce n'est pas non plus un métier, c'est un service rendu, même si certains voient ça comme leur quart d'heure de gloire ;)

--
Hôdo
Livingstone
- [^]Re: Première news...
  
  Posté par Zorro () le 10/08/2004 à 09:25. (lien). Évalué à 5.
  Moi, quand je poste sur LinuxFR est que c'est publié, je téléphone vite à ma maman et à ma grand-mère, pour qu'elles aillent lire (coucou, maman !)...

[^]Re: Première news...

Posté par Pierre Jarillon (page perso, ) le 10/08/2004 à 22:23. (lien). Évalué à 2.
Je pense qu'il vaudrait mieux positiver : au lieu de dire qu'i y a des failles de sécurité dans.... il vaudrait mieux titrer "Correctif de sécurité pour..."
C'est juste un avis !

Revenir en haut de page

Articles précédents : Internet

Liens connexes

Dépêche modérée par

Dépêche éditée par

Internet : Failles de sécurité dans la libpng

Le buffer overflow n'est pas une fin en soi

Présomption d'innocence

Mauvaise pub

[^]Mauvais titre

[^]Re: Mauvais titre

[^]Re: Mauvais titre

Le format PNG n'est pas dangereux..

[^]Re: Le format PNG n'est pas dangereux..

nouvelle rubrique

[^]Re: nouvelle rubrique

[^]Re: nouvelle rubrique

[^]Re: nouvelle rubrique

[^]Re: nouvelle rubrique

[^]Re: nouvelle rubrique

[^]Re: nouvelle rubrique

[^]Re: nouvelle rubrique

...

[+] [^]Re: ...

[^]Re: ...

[^]Re: ...

patchage pour Debian Sarge et Sid

[^]Re: patchage pour Debian Sarge et Sid

[^]Re: patchage pour Debian Sarge et Sid

[^]Re: patchage pour Debian Sarge et Sid

[^]Re: tu sais pas lire ?

"Les images open source ne sont pas infaillibles"

Première news...

[^]Re: Première news...

[^]Re: Première news...

[^]Re: Première news...