L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de libpng/pnm2png : déni de service via png_free_data

Synthèse de la vulnérabilité 

Un attaquant peut provoquer une erreur fatale via png_free_data() de libpng/pnm2png, afin de mener un déni de service.
Systèmes impactés : Fedora, libpng, Java OpenJDK, Java Oracle, Slackware.
Gravité de cette alerte : 1/4.
Date de création : 16/07/2018.
Références de cette alerte : 238, cpuoct2018, CVE-2018-14048, FEDORA-2020-2f4a1bffba, FEDORA-2020-512f0121dc, SSA:2019-107-01, VIGILANCE-VUL-26753.

Description de la vulnérabilité 

Un attaquant peut provoquer une erreur fatale via png_free_data() de libpng/pnm2png, afin de mener un déni de service.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette alerte cyber-sécurité concerne les logiciels ou systèmes comme Fedora, libpng, Java OpenJDK, Java Oracle, Slackware.

Notre équipe Vigil@nce a déterminé que la gravité de cette menace cybersécurité est faible.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Un attaquant avec un niveau de compétence expert peut exploiter cette alerte de menace.

Solutions pour cette menace 

libpng : version 1.6.37.
La version 1.6.37 est corrigée :
  https://sourceforge.net/projects/libpng/files/libpng16/1.6.37/

libpng/pnm2png : solution pour png_free_data.
La solution VIGILANCE-SOL-63777 est disponible.

Fedora : nouveaux paquetages mingw-libpng.
De nouveaux paquetages sont disponibles :
  Fedora 30 : mingw-libpng 1.6.37-3.fc30
  Fedora 31 : mingw-libpng 1.6.37-3.fc31

Oracle Java : version 11.0.1.
La version 11.0.1 est corrigée :
  http://www.oracle.com/technetwork/indexes/downloads/index.html
  https://www.oracle.com/technetwork/java/javase/11u-relnotes-5093844.html

Oracle Java : version 6u211.
La version 6u211 est corrigée :
  http://www.oracle.com/technetwork/indexes/downloads/index.html
  http://www.oracle.com/technetwork/java/javase/documentation/overview-156328.html

Oracle Java : version 7u201.
La version 7u201 est corrigée :
  http://www.oracle.com/technetwork/indexes/downloads/index.html
  http://www.oracle.com/technetwork/java/javase/documentation/javase7supportreleasenotes-1601161.html

Oracle Java : version 8u191.
La version 8u191 est corrigée :
  http://www.oracle.com/technetwork/indexes/downloads/index.html
  http://www.oracle.com/technetwork/java/javase/documentation/8u-relnotes-2225394.html

Slackware : nouveaux paquetages libpng.
De nouveaux paquetages sont disponibles :
  Slackware 14.2 : libpng 1.6.37-*-1_slack14.2
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit des bulletins cyber-sécurité. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.