Steve Grubb a découvert un problème dans la bibliothèque libpng (Portable Network Graphics), qui est utilisée pour de nombreuses applications. Au moment du traitement d'une image PNG cassée, la routine de gestion des erreurs accède à la mémoire qui est en dehors des limites lors de la création du message d'erreur. En fonction de l'architecture des machines, de la vérification des limites et d'autres mesures de protection, ce problème pourrait provoquer le plantage du programme si une image défectueuse ou intentionnellement préparée est gérée par libpng.
Cela peut être utilisé pour une attaque par déni de service contre différents programmes qui utilisent cette bibliothèque. Les commandes suivantes vous montrent quels paquets utilisent cette bibliothèque, et quels sont les programmes qui devront être redémarrés après la mise à jour :
apt-cache showpkg libpng2 apt-cache showpkg libpng3
La matrice de sécurité suivante explique quelles versions des paquets contiennent des correctifs.
| Paquet | Stable (Woody) | Instable (Sid) |
|---|---|---|
| libpng | 1.0.12-3.woody.5 | 1.0.15-5 |
| libpng3 | 1.2.1-1.1.woody.5 | 1.2.5.0-6 |
Nous vous recommandons de mettre à jour votre paquet libpng et ceux qui y sont liés.
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.