Debian セキュリティ勧告

DSA-140-2 libpng -- buffer overflow

報告日時:

2002-08-05

影響を受けるパッケージ:

libpng, libpng3

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2002-0660, CVE-2002-0728.

詳細:

PNG ライブラリの開発者により、バッファオーバーフローの問題が修正されました。この問題は、PNG データストリームが IDHR チャンクに指定されているものよりも大きな IDAT データを含んでいた場合に、プログレッシブ画像リーダで起こるものです。このように故意に不正にしたデータストリームは、通常アプリケーションのクラッシュを起こしますが、攻撃者により悪意をもつコードを実行されてしまう潜在的な可能性があります。Galeon や Konqueror のなどを含むプログラムがこのライブラリを使用しています。

それに加えて、以下のパッケージでは、潜在的なバッファオーバフローの修正が行なわれています。この PNG ライブラリには、新しい上流リリースにも含まれている安全のためのマージンが実装されています。私たちに知らせてくれた Glenn Randers-Pehrson さんに感謝します。

どのパッケージがこのライブラリに依存しているかを知るには、以下のコマンドを実行してください:

    apt-cache showpkg libpng2
    apt-cache showpkg libpng3

この問題は、現在の安定版 (woody) では libpng のバージョン 1.0.12-3.woody.2 および libpng3 のバージョン 1.2.1-1.1.woody.2 で、不安定版 (unstable) (sid) では libpng のバージョン 1.0.12-4 および libpng3 のバージョン 1.2.1-2 で修正されています。 potato には、この問題はないようです。

libpng のパッケージを早急にアップグレードし、これらもライブラリにリンクして外部データを読みこんでいる、ウェブブラウザなどのプログラムやデーモンを再起動するようお勧めします。

修正:

Debian GNU/Linux 3.0 (woody)

ソース:: http://security.debian.org/pool/updates/main/libp/libpng/libpng_1.0.12-3.woody.2.dsc; http://security.debian.org/pool/updates/main/libp/libpng/libpng_1.0.12-3.woody.2.diff.gz; http://security.debian.org/pool/updates/main/libp/libpng/libpng_1.0.12.orig.tar.gz; http://security.debian.org/pool/updates/main/libp/libpng3/libpng3_1.2.1-1.1.woody.2.dsc; http://security.debian.org/pool/updates/main/libp/libpng3/libpng3_1.2.1-1.1.woody.2.diff.gz; http://security.debian.org/pool/updates/main/libp/libpng3/libpng3_1.2.1.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/libp/libpng3/libpng-dev_1.2.1-1.1.woody.2_alpha.deb; http://security.debian.org/pool/updates/main/libp/libpng/libpng2_1.0.12-3.woody.2_alpha.deb; http://security.debian.org/pool/updates/main/libp/libpng/libpng2-dev_1.0.12-3.woody.2_alpha.deb; http://security.debian.org/pool/updates/main/libp/libpng3/libpng3_1.2.1-1.1.woody.2_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/libp/libpng3/libpng-dev_1.2.1-1.1.woody.2_arm.deb; http://security.debian.org/pool/updates/main/libp/libpng/libpng2_1.0.12-3.woody.2_arm.deb; http://security.debian.org/pool/updates/main/libp/libpng/libpng2-dev_1.0.12-3.woody.2_arm.deb; http://security.debian.org/pool/updates/main/libp/libpng3/libpng3_1.2.1-1.1.woody.2_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/libp/libpng3/libpng-dev_1.2.1-1.1.woody.2_i386.deb; http://security.debian.org/pool/updates/main/libp/libpng/libpng2_1.0.12-3.woody.2_i386.deb; http://security.debian.org/pool/updates/main/libp/libpng/libpng2-dev_1.0.12-3.woody.2_i386.deb; http://security.debian.org/pool/updates/main/libp/libpng3/libpng3_1.2.1-1.1.woody.2_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/libp/libpng3/libpng-dev_1.2.1-1.1.woody.2_ia64.deb; http://security.debian.org/pool/updates/main/libp/libpng/libpng2_1.0.12-3.woody.2_ia64.deb; http://security.debian.org/pool/updates/main/libp/libpng/libpng2-dev_1.0.12-3.woody.2_ia64.deb; http://security.debian.org/pool/updates/main/libp/libpng3/libpng3_1.2.1-1.1.woody.2_ia64.deb
HP Precision:: http://security.debian.org/pool/updates/main/libp/libpng3/libpng-dev_1.2.1-1.1.woody.2_hppa.deb; http://security.debian.org/pool/updates/main/libp/libpng/libpng2_1.0.12-3.woody.2_hppa.deb; http://security.debian.org/pool/updates/main/libp/libpng/libpng2-dev_1.0.12-3.woody.2_hppa.deb; http://security.debian.org/pool/updates/main/libp/libpng3/libpng3_1.2.1-1.1.woody.2_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/libp/libpng3/libpng-dev_1.2.1-1.1.woody.2_m68k.deb; http://security.debian.org/pool/updates/main/libp/libpng/libpng2_1.0.12-3.woody.2_m68k.deb; http://security.debian.org/pool/updates/main/libp/libpng/libpng2-dev_1.0.12-3.woody.2_m68k.deb; http://security.debian.org/pool/updates/main/libp/libpng3/libpng3_1.2.1-1.1.woody.2_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/libp/libpng3/libpng-dev_1.2.1-1.1.woody.2_mips.deb; http://security.debian.org/pool/updates/main/libp/libpng/libpng2_1.0.12-3.woody.2_mips.deb; http://security.debian.org/pool/updates/main/libp/libpng/libpng2-dev_1.0.12-3.woody.2_mips.deb; http://security.debian.org/pool/updates/main/libp/libpng3/libpng3_1.2.1-1.1.woody.2_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/libp/libpng3/libpng-dev_1.2.1-1.1.woody.2_mipsel.deb; http://security.debian.org/pool/updates/main/libp/libpng/libpng2_1.0.12-3.woody.2_mipsel.deb; http://security.debian.org/pool/updates/main/libp/libpng/libpng2-dev_1.0.12-3.woody.2_mipsel.deb; http://security.debian.org/pool/updates/main/libp/libpng3/libpng3_1.2.1-1.1.woody.2_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/libp/libpng3/libpng-dev_1.2.1-1.1.woody.2_powerpc.deb; http://security.debian.org/pool/updates/main/libp/libpng/libpng2_1.0.12-3.woody.2_powerpc.deb; http://security.debian.org/pool/updates/main/libp/libpng/libpng2-dev_1.0.12-3.woody.2_powerpc.deb; http://security.debian.org/pool/updates/main/libp/libpng3/libpng3_1.2.1-1.1.woody.2_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/libp/libpng3/libpng-dev_1.2.1-1.1.woody.2_s390.deb; http://security.debian.org/pool/updates/main/libp/libpng/libpng2_1.0.12-3.woody.2_s390.deb; http://security.debian.org/pool/updates/main/libp/libpng/libpng2-dev_1.0.12-3.woody.2_s390.deb; http://security.debian.org/pool/updates/main/libp/libpng3/libpng3_1.2.1-1.1.woody.2_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/libp/libpng3/libpng-dev_1.2.1-1.1.woody.2_sparc.deb; http://security.debian.org/pool/updates/main/libp/libpng/libpng2_1.0.12-3.woody.2_sparc.deb; http://security.debian.org/pool/updates/main/libp/libpng/libpng2-dev_1.0.12-3.woody.2_sparc.deb; http://security.debian.org/pool/updates/main/libp/libpng3/libpng3_1.2.1-1.1.woody.2_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。