Säkerhetsinformation / 2011 / Säkerhetsinformation -- DSA-2287-1 libpng

Säkerhetsbulletin från Debian

DSA-2287-1 libpng -- flera sårbarheter

Rapporterat den:

2011-07-28

Berörda paket:

libpng

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 632786, Fel 633871.
I Mitres CVE-förteckning: CVE-2011-2501, CVE-2011-2690, CVE-2011-2691, CVE-2011-2692.

Ytterligare information:

PNG-biblioteket har påverkats av flera sårbarheter. Den mest kritiska är den som identifieras som CVE-2011-2690. Med hjälp av denna sårbarhet kan en angripare skriva över minne med en godtycklig mängd data som kontrolleras av denna via en skapad PNG-bild.

De andra sårbarheterna är mindre kritiska och tillåter en angripare att orsaka en krasch i programmet (överbelastning) via en skapad PNG-bild.

För den gamla stabila utgåvan (Lenny) har detta problem rättats i version 1.2.27-2+lenny5. På grund av tekniska begränsningar i behandlingsskripting av Debian-arkivet kan inte de uppdaterade paketen släppas parallellt med paketen för Squeeze. De kommer att dyka upp inom kort.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 1.2.44-1+squeeze1.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.2.46-1.

Vi rekommenderar att ni uppgraderar era libpng-paket.