Säkerhetsbulletin från Debian
DSA-3772-1 libxpm -- säkerhetsuppdatering
- Rapporterat den:
- 2017-01-26
- Berörda paket:
- libxpm
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2016-10164.
- Ytterligare information:
-
Tobias Stoeckmann upptäckte att biblioteket libXpm innehåller två heltalsspill, vilket leder till skrivning utanför gränserna i heapen vid tolkning av XPM-utökningar i en fil. En angripare kan tillhandahålla en speciellt skapad XPM-fil som skulle orsaka en överbelastning mot den applikation som den behandlas av som använder libXpm-biblioteket, eller potentiellt körning av godtycklig kod med samma rättigheter som användaren som kör applikationen.
För den stabila utgåvan (Jessie) har detta problem rättats i version 1:3.5.12-0+deb8u1. Denna uppdatering är baserad på en ny uppströmsversion av libxpm som innehåller ytterligare felrättningar.
För uttestningsutgåvan (Stretch) och den instabila utgåvan (Sid), har detta problem rättats i version 1:3.5.12-1.
Vi rekommenderar att ni uppgraderar era libxpm-paket.