CERTA-2002-AVI-019

Vulnerability from certfr_avis - Published: - Updated:

Deux vulnérabilités de gzip permettent à un utilisateur mal intentionné de provoquer un déni de service ou d'éléver ses privilèges.

Description

L'utilitaire gzip est utilisé pour la compression.

Deux vulnérabilités sont présentes dans gzip.

La première provoque un déni de service si le fichier en entrée possède un nom supérieur à 1020 caractères.

La deuxième vulnérabilité est un dépassement de mémoire qui peut être exploitée si gzip est utilisé sur un serveur (un serveur FTP par exemple).

Solution

Contacter votre éditeur pour obtenir une mise à jour. Un correctif est disponible sur le site de gzip (cf. Documentation).

Utilitaire gzip version 1.2.4.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eUtilitaire \u003cSPAN class=\"textit\"\u003egzip\u003c/SPAN\u003e version 1.2.4.\u003c/P\u003e",
  "content": "## Description\n\nL\u0027utilitaire gzip est utilis\u00e9 pour la compression.\n\nDeux vuln\u00e9rabilit\u00e9s sont pr\u00e9sentes dans gzip.\n\nLa premi\u00e8re provoque un d\u00e9ni de service si le fichier en entr\u00e9e poss\u00e8de\nun nom sup\u00e9rieur \u00e0 1020 caract\u00e8res.\n\nLa deuxi\u00e8me vuln\u00e9rabilit\u00e9 est un d\u00e9passement de m\u00e9moire qui peut \u00eatre\nexploit\u00e9e si gzip est utilis\u00e9 sur un serveur (un serveur FTP par\nexemple).\n\n## Solution\n\nContacter votre \u00e9diteur pour obtenir une mise \u00e0 jour. Un correctif est\ndisponible sur le site de gzip (cf. Documentation).\n",
  "cves": [],
  "links": [
    {
      "title": "Avis de s\u00e9curit\u00e9 Mandrake MDKSA-2002:011 :",
      "url": "http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-011.php"
    },
    {
      "title": "Site de gzip :",
      "url": "http://www.gzip.org"
    }
  ],
  "reference": "CERTA-2002-AVI-019",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2002-02-01T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "D\u00e9ni de service"
    },
    {
      "description": "\u00c9l\u00e9vation de privil\u00e8ges"
    }
  ],
  "summary": "Deux vuln\u00e9rabilit\u00e9s de \u003cspan class=\"textit\"\u003egzip\u003c/span\u003e permettent \u00e0 un\nutilisateur mal intentionn\u00e9 de provoquer un d\u00e9ni de service ou d\u0027\u00e9l\u00e9ver\nses privil\u00e8ges.\n",
  "title": "Vuln\u00e9rabilit\u00e9s de gzip",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis de S\u00e9curit\u00e9 Mandrake MDKSA-2002:011",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.