Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2287-1 libpng

Bulletin d'alerte Debian

DSA-2287-1 libpng -- Plusieurs vulnérabilités

Date du rapport :

28 juillet 2011

Paquets concernés :

libpng

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 632786, Bogue 633871.
Dans le dictionnaire CVE du Mitre : CVE-2011-2501, CVE-2011-2690, CVE-2011-2691, CVE-2011-2692.

Plus de précisions :

La bibliothèque PNG libpng a été affectée par plusieurs vulnérabilités. La plus critique est celle identifiée par CVE-2011-2690. En utilisant cette vulnérabilité, un attaquant est capable d'écraser de la mémoire avec une quantité de données contrôlées grâce à une image PNG forgée.

Les autres vulnérabilités sont moins critiques et permettent à un attaquant de planter le programme (déni de service) à l'aide d'une image PNG forgée.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1.2.27-2+lenny5. En raison d'une limitation technique dans les scripts de traitement de l'archive, les paquets mis à jour ne peuvent être publiés en même temps que les paquets pour Squeeze. Ils apparaîtront sous peu.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.2.44-1+squeeze1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.2.46-1.

Nous vous recommandons de mettre à jour vos paquets libpng.