Debians sikkerhedsbulletin
DSA-3399-1 libpng -- sikkerhedsopdatering
- Rapporteret den:
- 18. nov 2015
- Berørte pakker:
- libpng
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 803078, Fejl 805113.
I Mitres CVE-ordbog: CVE-2015-7981, CVE-2015-8126. - Yderligere oplysninger:
-
Flere sårbarheder er opdaget i PNG-biblioteket libpng. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2015-7981
Qixue Xiao opdagede en sårbarhed i forbindelse med læsningen uden for grænserne i funktionen png_convert_to_rfc1123. En fjernangriber kunne potentielt drage nytte af fejlen til at forårsage informationsafsløring fra proceshukommelsen.
- CVE-2015-8126
Adskillige bufferoverløb blev opdaget i funktionerne png_set_PLTE og png_get_PLTE. En fjernangriber kunne drage nytte af fejlen til at forårsage et lammelsesangreb (applikationsnedbrud) via en lille bitdybdeværdi i en IHDR-chunk (imageheader) i et PNG-billede.
I den gamle stabile distribution (wheezy), er disse problemer rettet i version 1.2.49-1+deb7u1.
I den stabile distribution (jessie), er disse problemer rettet i version 1.2.50-2+deb8u1.
I den ustabile distribution (sid), er disse problemer rettet i version 1.2.54-1.
Vi anbefaler at du opgraderer dine libpng-pakker.
- CVE-2015-7981