Failles de sécurité dans la libpng

Posté par  . Modéré par Benoît Sibaud.
Étiquettes :
0
9
août
2004
Sécurité
Des failles de sécurité ont été découvertes dans la bibliothèque de gestion d'images libre libpng (PNG portable network graphics).

Ces failles permettent à quelqu'un de mal intentionné d'exécuter du code à distance sur les systèmes Windows, MacOS et Linux.
Les vulnérabilités ont été détectées au niveau de la libpng dans un module où diverses applications piochent les ressources pour décoder les images au format PNG. En créant une image piégée et en la plaçant dans un site Internet ou dans un courriel, celles-ci permettent d'exécuter du code à distance en créant un « buffer overflow » (dépassement de mémoire tampon).
Le Cert-IST a émis le 5 août un avis non public, avec un indice de dangerosité « moyen ».

Des correctifs sont d'ores et déjà disponibles pour les distributions Linux et pour la suite Mozilla.

NdM : voir aussi les annonces sécurité Debian et Redhat.

Aller plus loin

  • # Le buffer overflow n'est pas une fin en soi

    Posté par  (site web personnel) . Évalué à 10.

    Euh... "exécuter du code à distance afin de créer un « buffer overflow »" ? Nan, ce serait plutôt l'inverse. Le buffer overflow n'est pas une fin en soi...

    Sinon, on écrit d'ores et déjà (avec un e à ores, donc).
  • # Présomption d'innocence

    Posté par  (site web personnel) . Évalué à 7.

    Ces failles permettent à quelqu'un de mal intentionné d'exécuter du code à distance sur les systèmes Windows, MacOS et Linux.
    C'est quoi ces à priori ? Ça se trouve il fait ça pour ton bien, médisant.
  • # Mauvaise pub

    Posté par  (site web personnel) . Évalué à 1.

    J'ai peur que les gens fassent un amalgame: PNG saiMal.

    Esperons que non.
    • [^] # Mauvais titre

      Posté par  . Évalué à 6.

      Oui a cause du titre de la news qui est trompeur:
      « Failles de sécurité dans la gestion du format PNG »

      Il y a bien un problème avec la lib: «libpng» et pas de manière générale avec «la gestion du format PNG». J'imagine, que sous windows par exemple, des tas de programmes lisent le PNG et n'utilisent pas libpng et ne sont donc pas concernés par cette faille.
  • # Le format PNG n'est pas dangereux..

    Posté par  . Évalué à 3.

    .. car ici où la (heureusement pas sur DLFP) on peut lire que la faille touche le format PNG. Ce genre de "désinformation" volontaire ou pas (enfin je pencherais pas mal pour de l'incompetence) n'est pas franchement bon pour la promotion des formats ouverts et libres. Le PNG est un tres bon format (enfin une fusion avec le MNG serait la bienvenue) qui merite de se répandre...

    Sinon, cette faille touche aussi les systemes BSD (mise à jour de la news?), car la libpng est très utilisées sur les divers systemes libres malgré le fait que dès vendredi matin j'avais mis les correctifs :) (ports rulez.)
    • [^] # Re: Le format PNG n'est pas dangereux..

      Posté par  . Évalué à 3.

      La libpbng est aussi utilisée par Apple dans MacOS X.3 (et son navigateur Safari). La mise à jour est dispo depuis ce matin depuis le menu Pomme -> "Mise à jour de logiciels"
  • # nouvelle rubrique

    Posté par  . Évalué à 2.

    une faille par ci, une faille par là, le libre c'est pas que la securité hein ???
    <mode rêve >
    Ce serait bien d'avoir une rubrique securité comme dans le bon vieux temps sous dacode...
    </mode rêve>
  • # ...

    Posté par  . Évalué à 7.

    Si on passe toutes les news de sécurité, ça va être l'invasion.
    Les trous de sécurité de la semaine dernière :
    http://lwn.net/Articles/94604/(...)

    Nombre : 24
    • [^] # Re: ...

      Posté par  . Évalué à -3.

      oui mais je trouves que ça pollue deja pas mal la page principale de linuxfr...
    • [^] # Re: ...

      Posté par  (site web personnel) . Évalué à 1.

      Les trous de sécurité de la semaine dernière :

      Ce n'est pas sur une semaine. L'info de lwn n'est pas très clair la dessus :

      Exemple : Le trou de sécurité "Ethereal: Multiple security problems". L'info est indiquée comme étant mise à jour le "July 23, 2004" (plus de 2 semaines), mais le patch de sécurité est disponible sur le site de MDK depuis le 29 juin 2004 (plus d'un mois !!!) : http://www.mandrakesoft.com/security/advisories?dis=9.2(...) (c'est l'alerte " MDKSA-2004:067")

      Et il y a plusieurs autres problèmes similaires avec d'autres patchs de MDK (je n'ai pas regardé pour les autres distributions)

      Bref, les 24 trous de sécurité se rapartissent sur au moins un mois. Par contre, certaines distributions ont mis plus de temps que d'autres à fournir des nouveaux paquets...
      • [^] # Re: ...

        Posté par  . Évalué à 2.

        > Ce n'est pas sur une semaine.

        Sisi. C'est la semaine du 22 au 29 juin.
        C'est la page sécurité hebdomadaire de lwn.net. Pour l'archive, c'est ici :
        http://lwn.net/Archives/(...)
        Mais des bug sont repris d'une semaine sur l'autre en fonction des mises à jours par les distributeurs.

        > Bref, les 24 trous de sécurité se rapartissent sur au moins un mois.

        C'est plus ou moins vrai. Mais il y a pas eu 24 nouveaux trous de sécurité pour la semaine.

        Mais regardes ici :
        http://lwn.net/Vulnerabilities/(...)
        Le 6/08 : 3 nouveaux trous de sécurité
        Le 5/08 : 2
        Le 4/08 : 5
        Le 30/07 : 4
        Le 29/07 : 1
        Le 28/07 : 5

        19 nouveaux trous de sécurité en moins de 2 semaines.
  • # patchage pour Debian Sarge et Sid

    Posté par  (site web personnel) . Évalué à 1.

    Apparement Sarge et Sid ne sont pas encore patchés donc comme j'avais rien à faire je me suis demandé si ça serait dur à faire. Apparement non (pour Sarge):
    $ apt-get source libpng3
    Lecture des listes de paquets... Fait
    Construction de l'arbre des dépendances... Fait
    Nécessité de prendre 519ko dans les sources.
    Réception de| : 1 http://ftp.debian.skynet.be(...) testing/main libpng3 1.2.5.0-6 (dsc) [635B]
    Réception de| : 2 http://ftp.debian.skynet.be(...) testing/main libpng3 1.2.5.0-6 (tar) [506kB]
    Réception de| : 3 http://ftp.debian.skynet.be(...) testing/main libpng3 1.2.5.0-6 (diff) [12,5kB]
    519ko réceptionnés en 2s (245ko/s)
    dpkg-source: extracting libpng3 in libpng3-1.2.5.0
    $ cd libpng3-1.2.5.0/
    $ wget -q -O - ftp://swrinde.nde.swri.edu/pub/png/src/libpng-1.2.5-all-patches.tx(...) | patch -p1
    patching file png.h
    patching file pngconf.h
    patching file pngerror.c
    Hunk #1 FAILED at 137.
    1 out of 1 hunk FAILED -- saving rejects to file pngerror.c.rej
    patching file pngpread.c
    patching file pngread.c
    patching file pngrtran.c
    Hunk #3 succeeded at 1929 with fuzz 1 (offset -36 lines).
    Hunk #4 FAILED at 1951.
    1 out of 4 hunks FAILED -- saving rejects to file pngrtran.c.rej
    patching file pngrutil.c
    patching file pngset.c
    $ vi pngrtran.c
            # go to line 1949 and change "* 3" into "* 6"
            # go to line 1950 and add "* 2" at the end of the line
    $ dpkg-buildpackage -rfakeroot -us -uc
            # [...blablabla...compilation...]
    Les mainteneurs Debian sont vraiment lents ou c'est moi qui ai oublié un truc fondamental quelque part ? Pour les rejets de patch, le premier ça avait déjà été fait par un patch Debian précédent (je suppose) et le deuxième s'appliquait pas parce qu'un commentaire a changé (mais suffit de l'appliquer manuellement).

    pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

    • [^] # Re: patchage pour Debian Sarge et Sid

      Posté par  . Évalué à 2.

      Sur ma woody, ça a été fait le 5 aout ...
    • [^] # Re: patchage pour Debian Sarge et Sid

      Posté par  (site web personnel) . Évalué à 4.

      Un patch, ça se fait pas à la légére.

      Surtout pour la libpng, qui est tout de même un paquet trés utilisé. Il faut faire divers tests, il faut vérifier si la faille est fermé, véritablement fermé, il faut que ça builde partout, et que ça passe l'assurance qualité.

      C'est pas aussi facile que ça.
    • [^] # Re: tu sais pas lire ?

      Posté par  . Évalué à 5.

      http://www.debian.org/security/faq.fr.html#testing(...) :

      Q. : Comment est gérée la sécurité pour testing et unstable ?

      R. : La réponse courte est : elle ne l'est pas. Testing et unstable évoluent rapidement et l'équipe chargée de la sécurité n'a pas les ressources nécessaires pour faire ce travail correctement. Si vous souhaitez un serveur sûr (et stable), vous êtes fortement encouragés à rester sur la distribution stable. Cependant, les membres de l'équipe en charge de la sécurité essayeront de corriger les problèmes dans testing et unstable une fois qu'ils auront été corrigés dans la version stable.


      D'ailleur je comprends pas pourquoi la personne qui a dit que woody etait patchee depuis le 5 aout c'est fait moinser ...
  • # "Les images open source ne sont pas infaillibles"

    Posté par  . Évalué à 4.

    en passant par google news j'ai trouvé :

    http://www.01net.com/article/249374.html(...)

    "La Mozilla Foundation qui veille au bon développement de programmes tels que Firefox, Thunderbird, Mozilla ou Konqueror"
  • # Première news...

    Posté par  . Évalué à 3.

    C'était ma première news, j'ai essayé de faire de mon mieu même s'il y à quelques erreurs...Mais avant d'exeller il faut débuter...Et les débutants commettent toujours qq erreurs...

    Donc désolé si j'ai choqué quelques un...
    • [^] # Re: Première news...

      Posté par  (site web personnel) . Évalué à 3.

      Bah moi je trouve ça bien, il faut pas non plus exagérer.

      Poster des news sur linuxfr, ce n'est pas non plus un métier, c'est un service rendu, même si certains voient ça comme leur quart d'heure de gloire ;)
      • [^] # Re: Première news...

        Posté par  (site web personnel) . Évalué à 5.

        Moi, quand je poste sur LinuxFR est que c'est publié, je téléphone vite à ma maman et à ma grand-mère, pour qu'elles aillent lire (coucou, maman !)...
    • [^] # Re: Première news...

      Posté par  (site web personnel) . Évalué à 2.

      Je pense qu'il vaudrait mieux positiver : au lieu de dire qu'i y a des failles de sécurité dans.... il vaudrait mieux titrer "Correctif de sécurité pour..."
      C'est juste un avis !

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.