Steve Grubb entdeckte ein Problem in der »Portable Network Graphics«-Bibliothek libpng, die in mehreren Applikationen benutzt wird. Wenn ein defektes PNG-Bild bearbeitet wird, greift die Fehlerbehandlungsroutine bei der Erstellung der Fehlermeldung auf Speicher zu, der nicht im erlaubten Bereich liegt. In Abhängigkeit von der Rechnerarchitektur, Bereichsüberprüfungen und anderen Schutzmaßnahmen kann dieses Problem einen Programmabsturz verursachen, wenn ein defektes oder absichtlich präpariertes PNG-Bild von libpng bearbeitet wird.
Dies könnte als Denial-of-Service-Angriff gegen verschiedene Programme verwendet werden, die diese Bibliothek einbinden. Die folgenden Befehle zeigen Ihnen, welche Pakete diese Bibliothek verwenden und wessen Programme nach einer Aktualisierung wahrscheinlich neu gestartet werden sollten:
apt-cache showpkg libpng2 apt-cache showpkg libpng3
Die folgende Sicherheitsmatrix erklärt, welche Paket-Versionen eine Korrektur enthalten.
| Paket | stable (Woody) | unstable (Sid) |
|---|---|---|
| libpng | 1.0.12-3.woody.5 | 1.0.15-5 |
| libpng3 | 1.2.1-1.1.woody.5 | 1.2.5.0-6 |
Wir empfehlen Ihnen, Ihr libpng-Paket und verwandte Pakete zu aktualisieren.
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.