Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2287-1 libpng

Debians sikkerhedsbulletin

DSA-2287-1 libpng -- flere sårbarheder

Rapporteret den:

28. jul 2011

Berørte pakker:

libpng

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 632786, Fejl 633871.
I Mitres CVE-ordbog: CVE-2011-2501, CVE-2011-2690, CVE-2011-2691, CVE-2011-2692.

Yderligere oplysninger:

PNG-biblioteket libpng er påvirket af flere sårbarheder. Den mest kritiske er registreret som CVE-2011-2690. Med anvendelse af denne sårbarhed, kunne en angriber overskrive hukommelse med en vilkårlig mængde data kontrolleret af vedkommende ved hjælp af et fabrikeret PNG-billede.

De øvrige sårbarheder er mindre kritiske og gav en angriber mulighed for at forårsage et nedbrud i programmet (lammelsesangreb / denial of service) via et fabrikeret PNG-billede.

I den gamle stabile distribution (lenny), er dette problem rettet i version 1.2.27-2+lenny5. På grund af en teknisk begrænsning i Debians skripter til arkivhåndtering, kan opdaterede pakker ikke udgives parallelt med pakker til squezze. De vil snarest blive tilgængelige.

I den stabile distribution (squeeze), er dette problem rettet i version 1.2.44-1+squeeze1.

I den ustabile distribution (sid), er dette problem rettet i version 1.2.46-1.

Vi anbefaler at du opgraderer dine libpng-pakker.