Sikkerhedsoplysninger / 2017 / Sikkerhedsoplysninger -- DSA-3772-1 libxpm

Debians sikkerhedsbulletin

DSA-3772-1 libxpm -- sikkerhedsopdatering

Rapporteret den:

26. jan 2017

Berørte pakker:

libxpm

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2016-10164.

Yderligere oplysninger:

Tobias Stoeckmann opdagede at biblioteket libXpm indeholdt to heltalsoverløbsfejl, førende til en skrivning uden for heap'ens grænser, mens XPM-udvidelser i en fil blev fortolket. En angriber kunne levere en særligt fremstillet XPM-fil, som ved behandling af en applikation, der anvender biblioteket libXpm, ville medføre et lammelsesangreb (denial of service) mod applikationen, eller potentielt udførelse af vilkårlig kode med rettighederne hørende til den bruger, der kører applikationen.

I den stabile distribution (jessie), er dette problem rettet i version 1:3.5.12-0+deb8u1. Opdateringen er baseret på en ny opstrømsversion of libxpm, der indeholder yderligere fejlrettelser.

I distributionen testing (stretch) og i den ustabile distribution (sid), er dette problem rettet i version 1:3.5.12-1.

Vi anbefaler at du opgraderer dine libxpm-pakker.