CERTA-2005-AVI-188
Vulnerability from certfr_avis - Published: 2005-06-02 - Updated: 2007-10-18None
Description
bzip2 est un outil de compression.
- Une première vulnérabilité permet à un individu malintentionné de porter atteinte à la confidentialité et à l'intégrité des données au moyen de liens symboliques contenus dans une archive spécialement construite (CAN-2005-0953) ;
- une seconde vulnérabilité présente dans l'application bzip2 permet à un utilisateur distant malintentionné, au moyen d'une archive spécialement construite, de consommer une grande partie des ressources CPU du système afin de réaliser un déni de service (CAN-2005-1260).
Solution
Se référer aux bulletins de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).
Appliquer la mise à jour de sécurité de l'éditeur disponible à l'adresse suivante :
http://www.bzip.org/downloads.html
bzip2 1.x.
Impacted products
| Vendor | Product | Description |
|---|
References
| Title | Publication Time | Tags | |
|---|---|---|---|
|
|
|||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cP\u003ebzip2 1.x.\u003c/P\u003e",
"content": "## Description\n\nbzip2 est un outil de compression.\n\n- Une premi\u00e8re vuln\u00e9rabilit\u00e9 permet \u00e0 un individu malintentionn\u00e9 de\n porter atteinte \u00e0 la confidentialit\u00e9 et \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es au\n moyen de liens symboliques contenus dans une archive sp\u00e9cialement\n construite (CAN-2005-0953) ;\n- une seconde vuln\u00e9rabilit\u00e9 pr\u00e9sente dans l\u0027application bzip2 permet \u00e0\n un utilisateur distant malintentionn\u00e9, au moyen d\u0027une archive\n sp\u00e9cialement construite, de consommer une grande partie des\n ressources CPU du syst\u00e8me afin de r\u00e9aliser un d\u00e9ni de service\n (CAN-2005-1260).\n\n## Solution\n\nSe r\u00e9f\u00e9rer aux bulletins de s\u00e9curit\u00e9 des \u00e9diteurs pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n\nAppliquer la mise \u00e0 jour de s\u00e9curit\u00e9 de l\u0027\u00e9diteur disponible \u00e0 l\u0027adresse\nsuivante :\n\n http://www.bzip.org/downloads.html\n",
"cves": [],
"initial_release_date": "2005-06-02T00:00:00",
"last_revision_date": "2007-10-18T00:00:00",
"links": [
{
"title": "Bulletin de s\u00e9curit\u00e9 Debian DSA-741 du 07 juillet 2005 :",
"url": "http://www.debian.org/security/2005/dsa-741"
},
{
"title": "Site Internet de l\u0027\u00e9diteur :",
"url": "http://www.bzip.org"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 FreeBSD du 29 juin 2005 :",
"url": "ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-05:14.bzip2.asc"
},
{
"title": "Mise \u00e0 jour de s\u00e9curit\u00e9 bzip2 v1.0.3 :",
"url": "http://www.bzip.org/downloads.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 SUSE SUSE-SR:2005:015 du 07 juin 2005 :",
"url": "http://www.novell.com/linux/security/advisories/2005_15_sr.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Sun 103118 du 16 octobre 2007 :",
"url": "http://sunsolve.sun.com/search/document.do?assetkey=1-26-103118-1"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Mandriva MDKSA-2005:091 du 18 mai 2005 :",
"url": "http://www.mandriva.com/security/advisories?name=MDKSA-2005:091"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2005:474 du 16 juin 2005 :",
"url": "http://rhn.redhat.com/errata/RHSA-2005-474.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Debian DSA-730 du 27 mai 2005 :",
"url": "http://www.debian.org/security/2005/dsa-730"
}
],
"reference": "CERTA-2005-AVI-188",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2005-06-02T00:00:00.000000"
},
{
"description": "ajout d\u0027une nouvelle vuln\u00e9rabilit\u00e9, de la r\u00e9f\u00e9rence CVE et des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 Mandriva et Debian.",
"revision_date": "2005-06-03T00:00:00.000000"
},
{
"description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 SUSE SUSE-SR:2005:015.",
"revision_date": "2005-06-14T00:00:00.000000"
},
{
"description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 RedHat RHSA-2005:474.",
"revision_date": "2005-06-17T00:00:00.000000"
},
{
"description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 FreeBSD SA-05:14.",
"revision_date": "2005-07-01T00:00:00.000000"
},
{
"description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Debian DSA-741.",
"revision_date": "2005-07-07T00:00:00.000000"
},
{
"description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Sun 103118.",
"revision_date": "2007-10-18T00:00:00.000000"
}
],
"risks": [
{
"description": "Atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es"
},
{
"description": "D\u00e9ni de service"
},
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": null,
"title": "Multiples vuln\u00e9rabilit\u00e9s dans bzip2",
"vendor_advisories": [
{
"published_at": null,
"title": "Mise \u00e0 jour de s\u00e9curit\u00e9 de l\u0027\u00e9diteur du 26 mai 2005",
"url": null
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…