Информация по безопасности / 2015 / Информация о безопасности -- DSA-3399-1 libpng

Рекомендация Debian по безопасности

DSA-3399-1 libpng -- обновление безопасности

Дата сообщения:

18.11.2015

Затронутые пакеты:

libpng

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 803078, Ошибка 805113.
В каталоге Mitre CVE: CVE-2015-7981, CVE-2015-8126.

Более подробная информация:

В libpng, библиотеке для поддержки формата PNG, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2015-7981

  Цисюэ Сяо обнаружил чтение за пределами выделенной памяти в функции png_convert_to_rfc1123. Удалённый злоумышленник потенциально может использовать данную уязвимость для раскрытия информации из памяти процесса.

• CVE-2015-8126

  В функциях png_set_PLTE и png_get_PLTE были обнаружены многочисленные переполнения буфера. Удалённый злоумышленник может использовать данную уязвимость для вызова отказа в обслуживании (аварийное завершение работы приложения) с помощью небольшого значения глубины цвета во фрагменте IHDR (заголовок изображения) изображения PNG.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.2.49-1+deb7u1.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 1.2.50-2+deb8u1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.2.54-1.

Рекомендуется обновить пакеты libpng.