int(2800)

Boletines de Vulnerabilidades

Múltiples desbordamientos de búfer en Imlib2

Clasificación de la vulnerabilidad
Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio exotico

Información sobre el sistema
Propiedad Valor
Fabricante afectado GNU/Linux
Software afectado imlib2 < 1.2.1

Descripción
Se han descubierto múltiples vulnerabilidades del tipo desbordamiento de búfer en la librería gráfica Imlib2 en versiones anteriores a 1.2.1. Las vulnerabilidades son descritas a continuación:

- CVE-2006-4806: Esta vulnerabilidad podría permitir a un atacante remoto causar una denegación de servicio o ejecutar código arbitrario mediante imágenes ARGB (loader_argb.c), PNG (loader_png.c), LBM (loader_lbm.c), JPEG (loader_jpeg.c), o TIFF (loader_tiff.c) especialmente diseñadas.

- CVE-2006-4807: Un atacante remoto podría causar una denegación de servicio mediante imágenes TGA especialmente diseñadas que al ser tratadas por loader_tga.c se salen de su espacio de memoria. Este aviso es diferente al del CVE-2006-4808.

- CVE-2006-4808: Un atacante remoto podría causar una denegación de servicio o ejecutar código arbitrario mediante imágenes TGA especialmente diseñadas tratadas porloader_tga.c.

- CVE-2006-4809: La vulnerabilidad reside en un error en loader_pnm.c, y podría permitir a un atacante remoto causar una denegación de servicio o ejecutar código arbitrario mediante imágenes PNM especialmente diseñadas.

Solución


Actualización de software

Mandriva

Corporate Server 3.0
X86
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/3.0/i586/libimlib2_1-1.0.6-4.4.C30mdk.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/3.0/i586/libimlib2_1-devel-1.0.6-4.4.C30mdk.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/3.0/i586/libimlib2_1-filters-1.0.6-4.4.C30mdk.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/3.0/i586/libimlib2_1-loaders-1.0.6-4.4.C30mdk.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/3.0/SRPMS/imlib2-1.0.6-4.4.C30mdk.src.rpm
X86_64
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/3.0/x86_64/lib64imlib2_1-1.0.6-4.4.C30mdk.x86_64.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/3.0/x86_64/lib64imlib2_1-devel-1.0.6-4.4.C30mdk.x86_64.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/3.0/x86_64/lib64imlib2_1-filters-1.0.6-4.4.C30mdk.x86_64.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/3.0/x86_64/lib64imlib2_1-loaders-1.0.6-4.4.C30mdk.x86_64.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/3.0/SRPMS/imlib2-1.0.6-4.4.C30mdk.src.rpm

Mandriva Linux 2006
X86
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2006.0/i586/imlib2-data-1.2.1-1.3.20060mdk.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2006.0/i586/libimlib2_1-1.2.1-1.3.20060mdk.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2006.0/i586/libimlib2_1-devel-1.2.1-1.3.20060mdk.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2006.0/i586/libimlib2_1-filters-1.2.1-1.3.20060mdk.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2006.0/i586/libimlib2_1-loaders-1.2.1-1.3.20060mdk.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2006.0/SRPMS/imlib2-1.2.1-1.3.20060mdk.src.rpm
X86_64
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2006.0/x86_64/imlib2-data-1.2.1-1.3.20060mdk.x86_64.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2006.0/x86_64/lib64imlib2_1-1.2.1-1.3.20060mdk.x86_64.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2006.0/x86_64/lib64imlib2_1-devel-1.2.1-1.3.20060mdk.x86_64.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2006.0/x86_64/lib64imlib2_1-filters-1.2.1-1.3.20060mdk.x86_64.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2006.0/x86_64/lib64imlib2_1-loaders-1.2.1-1.3.20060mdk.x86_64.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2006.0/SRPMS/imlib2-1.2.1-1.3.20060mdk.src.rpm

Mandriva Linux 2007
X86
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.0/i586/imlib2-data-1.2.2-3.2mdv2007.0.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.0/i586/libimlib2_1-1.2.2-3.2mdv2007.0.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.0/i586/libimlib2_1-devel-1.2.2-3.2mdv2007.0.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.0/i586/libimlib2_1-filters-1.2.2-3.2mdv2007.0.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.0/i586/libimlib2_1-loaders-1.2.2-3.2mdv2007.0.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.0/SRPMS/imlib2-1.2.2-3.2mdv2007.0.src.rpm
X86_64
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.0/x86_64/imlib2-data-1.2.2-3.2mdv2007.0.x86_64.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.0/x86_64/lib64imlib2_1-1.2.2-3.2mdv2007.0.x86_64.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.0/x86_64/lib64imlib2_1-devel-1.2.2-3.2mdv2007.0.x86_64.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.0/x86_64/lib64imlib2_1-filters-1.2.2-3.2mdv2007.0.x86_64.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.0/x86_64/lib64imlib2_1-loaders-1.2.2-3.2mdv2007.0.x86_64.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.0/SRPMS/imlib2-1.2.2-3.2mdv2007.0.src.rpm

Corporate Server 4.0
X86
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/4.0/i586/imlib2-data-1.2.1-1.3.20060mlcs4.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/4.0/i586/libimlib2_1-1.2.1-1.3.20060mlcs4.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/4.0/i586/libimlib2_1-devel-1.2.1-1.3.20060mlcs4.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/4.0/i586/libimlib2_1-filters-1.2.1-1.3.20060mlcs4.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/4.0/i586/libimlib2_1-loaders-1.2.1-1.3.20060mlcs4.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/4.0/SRPMS/imlib2-1.2.1-1.3.20060mlcs4.src.rpm
X86_64
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/4.0/x86_64/imlib2-data-1.2.1-1.3.20060mlcs4.x86_64.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/4.0/x86_64/lib64imlib2_1-1.2.1-1.3.20060mlcs4.x86_64.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/4.0/x86_64/lib64imlib2_1-devel-1.2.1-1.3.20060mlcs4.x86_64.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/4.0/x86_64/lib64imlib2_1-filters-1.2.1-1.3.20060mlcs4.x86_64.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/4.0/x86_64/lib64imlib2_1-loaders-1.2.1-1.3.20060mlcs4.x86_64.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/4.0/SRPMS/imlib2-1.2.1-1.3.20060mlcs4.src.rpm

Mandriva (MDKSA-2007:156)

Mandriva Linux 2007.1
X86
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.1/i586/imlib2-data-1.2.2-3.1mdv2007.1.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.1/i586/libimlib2_1-1.2.2-3.1mdv2007.1.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.1/i586/libimlib2_1-devel-1.2.2-3.1mdv2007.1.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.1/i586/libimlib2_1-filters-1.2.2-3.1mdv2007.1.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.1/i586/libimlib2_1-loaders-1.2.2-3.1mdv2007.1.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.1/SRPMS/imlib2-1.2.2-3.1mdv2007.1.src.rpm
X86_64
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.1/x86_64/imlib2-data-1.2.2-3.1mdv2007.1.x86_64.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.1/x86_64/lib64imlib2_1-1.2.2-3.1mdv2007.1.x86_64.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.1/x86_64/lib64imlib2_1-devel-1.2.2-3.1mdv2007.1.x86_64.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.1/x86_64/lib64imlib2_1-filters-1.2.2-3.1mdv2007.1.x86_64.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.1/x86_64/lib64imlib2_1-loaders-1.2.2-3.1mdv2007.1.x86_64.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.1/SRPMS/imlib2-1.2.2-3.1mdv2007.1.src.rpm

Identificadores estándar
Propiedad Valor
CVE CVE-2006-4806
CVE-2006-4807
CVE-2006-4808
CVE-2006-4809
BID 20903

Recursos adicionales
Mandriva Security Advisory (MDKSA-2006:198-1)
http://www.mandriva.com/security/advisories?name=MDKSA-2006:198-1

Mandriva Security Advisory (MDKSA-2007:156)
http://www.mandriva.com/security/advisories?name=MDKSA-2007:156

Histórico de versiones
Versión Comentario Fecha
1.0 Aviso emitido 2006-11-07
1.1 Aviso emitido por Mandriva (MDKSA-2007:156) 2007-08-13

Miembros de

CERT
FIRST
TF-CSIRT
EGC Group
UE
Red Nacional de SOC
Foro Nacional de Ciberseguridad
CSIRT.es
Ministerio de Defensa
CNI
CCN
CCN-CERT