CERTA-2009-AVI-288
Vulnerability from certfr_avis - Published: 2009-07-24 - Updated: 2009-07-24
Plusieurs vulnérabilités présentes dans le produit Common Data Format (CDF) permettent à un utilisateur distant de provoquer un déni de service ou d'exécuter du code arbitraire.
Description
Commin Data Format (CDF) est un logiciel en sources ouvertes fourni par la NASA pour manipuler les fichiers au format homonyme. CDF peut être utilisé avec des logiciels comme MatLab pour des opérations particulières.
Deux vulnérabilités sont présentes dans le logiciel CDF. Elles sont relatives à plusieurs fonctions comme ReadAEDRList64(), SearchForRecord_r_64(), LastRecord64() ou CDFsel64(). Ces failles permettent à un utilisateur distant de provoquer un déni de service ou d'exécuter du code arbitraire via un fichier CDF particulier.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
La version 3.3 de CDF corrige le problème :
ftp://cdaweb.gsfc.nasa.gov/pub/cdf/dist/latest-release2
CDF versions 3.2.4 et antérieures.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cp\u003eCDF versions 3.2.4 et ant\u00e9rieures.\u003c/p\u003e",
"content": "## Description\n\nCommin Data Format (CDF) est un logiciel en sources ouvertes fourni par\nla NASA pour manipuler les fichiers au format homonyme. CDF peut \u00eatre\nutilis\u00e9 avec des logiciels comme MatLab pour des op\u00e9rations\nparticuli\u00e8res.\n\nDeux vuln\u00e9rabilit\u00e9s sont pr\u00e9sentes dans le logiciel CDF. Elles sont\nrelatives \u00e0 plusieurs fonctions comme ReadAEDRList64(),\nSearchForRecord_r\\_64(), LastRecord64() ou CDFsel64(). Ces failles\npermettent \u00e0 un utilisateur distant de provoquer un d\u00e9ni de service ou\nd\u0027ex\u00e9cuter du code arbitraire via un fichier CDF particulier.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n\nLa version 3.3 de CDF corrige le probl\u00e8me :\n\n\u003cftp://cdaweb.gsfc.nasa.gov/pub/cdf/dist/latest-release2\u003e\n",
"cves": [],
"initial_release_date": "2009-07-24T00:00:00",
"last_revision_date": "2009-07-24T00:00:00",
"links": [
{
"title": "Site de CDF :",
"url": "http://cdf.gsfc.nasa.gov"
}
],
"reference": "CERTA-2009-AVI-288",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2009-07-24T00:00:00.000000"
}
],
"risks": [
{
"description": "D\u00e9ni de service \u00e0 distance"
},
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
}
],
"summary": "Plusieurs vuln\u00e9rabilit\u00e9s pr\u00e9sentes dans le produit Common Data Format\n(CDF) permettent \u00e0 un utilisateur distant de provoquer un d\u00e9ni de\nservice ou d\u0027ex\u00e9cuter du code arbitraire.\n",
"title": "Multiples vuln\u00e9rabilit\u00e9s de Common Data Format",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 sur CDF de la NASA",
"url": "http://cdf.gsfc.nasa.gov/html/CDF_v330.html"
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.