30 avril Toulouse : Thales Roadshow 2024 : « Unlock your Cyber ! »

Abonnez-vous gratuitement à notre NEWSLETTER

Vulnérabilités

Avis du CERTA : Multiples vulnérabilités dans bzip2

octobre 2007 par CERT-FR

1 Risque

* Déni de service ;
* atteinte à la confidentialité des données ;
* atteinte à l’intégrité des données.

2 Systèmes affectés

bzip2 1.x.

3 Description

bzip2 est un outil de compression.

* Une première vulnérabilité permet à un individu malintentionné de porter
atteinte à la confidentialité et à l’intégrité des données au moyen de
liens symboliques contenus dans une archive spécialement construite
(CAN-2005-0953) ;

* une seconde vulnérabilité présente dans l’application bzip2 permet à un
utilisateur distant malintentionné, au moyen d’une archive spécialement
construite, de consommer une grande partie des ressources CPU du système
afin de réaliser un déni de service (CAN-2005-1260).

4 Solution

Se référer aux bulletins de sécurité des éditeurs pour l’obtention des
correctifs (cf. section Documentation).

Appliquer la mise à jour de sécurité de l’éditeur disponible à l’adresse
suivante :

http://www.bzip.org/downloads.html

5 Documentation

* Site Internet de l’éditeur :

http://www.bzip.org

* Mise à jour de sécurité bzip2 v1.0.3 :

http://www.bzip.org/downloads.html

* Bulletin de sécurité Debian DSA-730 du 27 mai 2005 :

http://www.debian.org/security/2005/dsa-730

* Bulletin de sécurité Mandriva MDKSA-2005:091 du 18 mai 2005 :